Studie: Android-Passwortmanager fallen auf Fake-Apps rein

Passwort-Manager für Googles Mobilbetriebssystem Android fällt es offenbar schwer, zwischen legitimen und gefälschten Apps zu unterscheiden. Zu dem Ergebnis kommt eine Studie von Forschern der Universität Genua (PDF) und der französischen Sicherheitsfirma Eurecom mit dem Titel „Phishing-Angriffe auf modernes Android“. Demnach lassen sich Funktionen von Android missbrauchen, um per Phishing Anmeldedaten auszuspähen.

Die Forscher stellten unter anderem fest, dass die ursprünglich für Desktop-Browser entwickelten Passwort-Manager unter Android nicht so sicher sind wie auf dem Desktop. Grund dafür sei, dass sie unter Umständen für eine Website gespeicherte Anmeldedaten auf dem mobilen Gerät einer falschen App zuordneten. Viele Passwort-Manager nutzten für die Zuordnung nämlich nur den Namen des Installationspakets der App.

Die Paketnamen seien jedoch nicht vertrauenswürdig und könnten von Betrügern leicht gefälscht werden. Das führe zu Situationen, in den eine schädliche App einen mobilen Passwort-Manager dazu verleiten könne, sie mit einer legitimen Website in Verbindung zu bringen.

Screenshots sollen belegen, dass bei Tests gefälschte Facebook-Apps von verschiedenen Passwort-Managern die Anmeldedaten für das Social-Network abrufen konnten. In der Praxis würden die gezeigten Fake-Apps zwar auffliegen, die Forscher betonen jedoch, dass für echte Angriffe die gefälschten Apps so gestaltet würden, dass sie von den echten Versionen nicht oder kaum zu unterscheiden seien.

Darüber hinaus befürchten sie, dass falls ein Nutzer eine Fake-App tatsächlich als verdächtig einstuft, er seine Bedenken aufgeben wird, sobald sein Passwort-Manager die App als echt bewertet und versucht, die Anmeldedaten einzugeben.

Insgesamt untersuchten die Forscher fünf Passwort-Manager. Vier davon, Keeper, Dashlane, LastPass und 1Password forderten ihre Nutzer bei den Tests auf, ihre Anmeldedaten in gefälschte Apps einzugeben. Googles Smart-Lock-App fiel indes nicht auf den Trick mit den gefälschten Paketnamen herein. Sie nutzt ein System namens Digital Asset Links, um die Echtheit der Apps zu überprüfen und eine Verbindung herzustellen.

Die Forscher kritisieren in ihrer Studie aber auch, dass Passwort-Manager bestimmtes verdächtiges Verhalten von Apps, das typisch für Phishing ist, offenbar ignorieren. So geben sie die Anmeldedaten in Formulare mit einer Transparenz-Einstellung von 0,01 ein, was die Formulare nahezu unsichtbar macht. Auch Formulare, die dieselbe Farbe für Vordergrund und Hintergrund nutzen und deswegen ebenfalls nahezu unsichtbar sind, werden bedient. Das gilt auch für Formulare, die nur 1 mal 1 Pixel groß sind.

Zudem funktionierten die Passwort-Manager mit Instant Apps, die eigentlich nur kurzzeitig und für Testzwecke installiert werden. Nach Ansicht der Forscher sollten Instant Apps jedoch grundsätzlich nicht unterstützt beziehungsweise als nicht vertrauenswürdig eingestuft werden, da sie nur für eine vorübergehende Nutzung gedacht seien.

Um die Sicherheit von Passwort-Managern zu verbessern, schlagen die Forscher den Entwicklern von Apps vor, Digital Asset Links in ihre Apps einzubauen, die dann von den Passwort-Managern benutzt werden können. Google stellten sie zudem eine Programmierschnittstelle (API) zur Verfügung, mit der Anbieter von Passwort-Managern eine Abfrage der Digital Asset Links zur Überprüfung der Echtheit von Apps in ihre Produkte einbauen können. Ob Google die API in Android OS integrieren wird, ist bisher nicht bekannt.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago