Fraunhofer warnt vor Lücken in Android-Passwortmanagern

MobileMobile Apps

LastPass, Dashlane, Keeper und 1Password leiden in älteren Versionen an erheblichen Sicherheitslecks, warnt Fraunhofer SIT. Anwender sollen schnell aktuelle Versionen installieren.

In verschiedenen Passwortmanagern gibt es “gravierende Sicherheitslücken”. Das teilt das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) mit. die Sicherheitsexperten warnen ausdrücklich vor Lecks unter anderem in LastPass, Dashlane, Keeper und 1Password. Im Anschluss an die Untersuchung durch die Fraunhofer-Experte haben die Hersteller die Lecks mittlerweile beseitigt. Nun sollten Anwender dringend auf die aktuellste Version upgraden, raten die Experten von Fraunhofer SIT.

Ausgewählte Whitepaper

So schützen Sie Ihr Unternehmen vor mobiler Malware

Während Back-End-Systeme von Unternehmen mit Firewalls, Intrusion-Prevention-Systemen und Antivirus-Gateways geschützt werden, weisen weder unternehmenseigene noch private mobile Geräte den gleichen Schutz auf. Das haben auch die Angreifer erkannt. Es ist daher höchste Zeit, angemessene Gegenmaßnahmen einzuleiten.

Anderweitig bestehe die Gefahr, dass Unbefugte Zugriff auf Anmeldedaten erhalten, die die Passwort-Manager eigentlich schützen sollen. Den Forschern zufolge müssen sich Angreifer jedoch im Netzwerk des Opfers befinden, um die Anfälligkeiten ausnutzen zu können. Das aber ist bereits schon mit der Nutzung eines öffentlichen WLAN erfüllt.

LastPass (Grafik:LastPass)

“Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone”, erläutert Siegfried Rasthofer, Android-Experte am Fraunhofer SIT, in einer Pressemitteilung. “Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.”

Ein anderer Implementierungsfehler betrifft die Zwischenablage, in der Passwort-Manager die Anmeldedaten vorübergehend speichern, um sie an andere Apps zu übergeben. Einige Anwendungen löschen die Zwischenablage nicht vollständig nach Abschluss der Anmeldung. Die dort hinterlegten Daten seien anschließend für beliebige andere Apps mit Zugriff auf die Zwischenablage zugänglich. Auch ein Geräteverlust bedeute in solchen Fällen ein erhebliches Risiko für den Nutzer.

Ausgewähltes Whitepaper

In fünf Schritten zu einem Enterprise Social Network

Dieses Whitepaper beantwortet die meistgestellten Fragen der in Firmen für die Einführung eines Enterprise Social Network Verantwortlichen: Wie fange ich an? Wie überzeuge ich die Geschäftsführung? Wie erreiche ich, dass die Kollegen mitziehen? Welche Ziele sollte ich definieren und wie erkenne ich, dass die Einführung erfolgreich ist?

Fraunhofer SIT hat die Passwortmanager mit dem selbst entwickelten Werkzeug “CodeInspect” getestet. Das Tool will Fraunhofer SIT ab dem 20. März auf der CeBIT in Hannover präsentieren. Weitere Details zu den inzwischen gepatchten Schwachstellen wollen die Forscher auf der Konferenz Hack In The Box präsentieren, die am 10. April in Amsterdam beginnt.

CodeInspect erlaubt es Rasthofer zufolge, die Sicherheit von Android- und iOS-Apps detailliert zu überprüfen, selbst wenn sie nicht im Quellcode vorliegen. “Sicherheitsanalysen von Apps gehören bei uns zum Tagesgeschäft.” Einige Fehler seien wohl eher aus Unachtsamkeit bei der Programmierung entstanden, andere seien jedoch wahrscheinlich absichtlich in die Apps eingebaut worden.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen