Anmeldung mit Master-Passwort (Bild: LastPass)
Das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) weist auf „gravierende Sicherheitslücken“ in beliebten Passwort-Managern für Googles Mobilbetriebssystem Android hin. Betroffen sind unter anderem Anwendungen wie LastPass, Dashlane, Keeper und 1Password. Da die Hersteller die Fehler mittlerweile beseitigt haben, rät das Fraunhofer SIT Nutzern von Passwort-Managern dringend, auf die aktuellste App-Version umzusteigen.
„Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone“, erläutert Siegfried Rasthofer, Android-Experte am Fraunhofer SIT, in einer Pressemitteilung. „Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.“
Ein anderer Implementierungsfehler betrifft die Zwischenablage, in der Passwort-Manager die Anmeldedaten vorübergehend speichern, um sie an andere Apps zu übergeben. Einige Anwendungen löschen die Zwischenablage nicht vollständig nach Abschluss der Anmeldung. Die dort hinterlegten Daten seien anschließend für beliebige andere Apps mit Zugriff auf die Zwischenablage zugänglich. Auch ein Geräteverlust bedeute in solchen Fällen ein erhebliches Risiko für den Nutzer.
Getestet wurden die Passwort-Manager mit dem vom Fraunhofer SIT entwickelten Werkzeug „CodeInspect“, dass das Fraunhofer SIT ab dem 20. März auf der CeBIT in Hannover ausstellt. Weitere Details zu den inzwischen gepatchten Schwachstellen wollen die Forscher auf der Konferenz Hack In The Box präsentieren, die am 10. April in Amsterdam beginnt.
CodeInspect erlaubt es Rasthofer zufolge, die Sicherheit von Android- und iOS-Apps detailliert zu überprüfen, selbst wenn sie nicht im Quellcode vorliegen. „Sicherheitsanalysen von Apps gehören bei uns zum Tagesgeschäft.“ Einige Fehler seien wohl eher aus Unachtsamkeit bei der Programmierung entstanden, andere seien jedoch wahrscheinlich absichtlich in die Apps eingebaut worden.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
