Fraunhofer warnt vor Lücken in Android-Passwortmanagern

LastPass (Grafik: LastPass)

LastPass, Dashlane, Keeper und 1Password leiden in älteren Versionen an erheblichen Sicherheitslecks, warnt Fraunhofer SIT. Anwender sollen schnell aktuelle Versionen installieren.

In verschiedenen Passwortmanagern gibt es “gravierende Sicherheitslücken”. Das teilt das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) mit. die Sicherheitsexperten warnen ausdrücklich vor Lecks unter anderem in LastPass, Dashlane, Keeper und 1Password. Im Anschluss an die Untersuchung durch die Fraunhofer-Experte haben die Hersteller die Lecks mittlerweile beseitigt. Nun sollten Anwender dringend auf die aktuellste Version upgraden, raten die Experten von Fraunhofer SIT.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Anderweitig bestehe die Gefahr, dass Unbefugte Zugriff auf Anmeldedaten erhalten, die die Passwort-Manager eigentlich schützen sollen. Den Forschern zufolge müssen sich Angreifer jedoch im Netzwerk des Opfers befinden, um die Anfälligkeiten ausnutzen zu können. Das aber ist bereits schon mit der Nutzung eines öffentlichen WLAN erfüllt.

LastPass (Grafik:LastPass)

“Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone”, erläutert Siegfried Rasthofer, Android-Experte am Fraunhofer SIT, in einer Pressemitteilung. “Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.”

Ein anderer Implementierungsfehler betrifft die Zwischenablage, in der Passwort-Manager die Anmeldedaten vorübergehend speichern, um sie an andere Apps zu übergeben. Einige Anwendungen löschen die Zwischenablage nicht vollständig nach Abschluss der Anmeldung. Die dort hinterlegten Daten seien anschließend für beliebige andere Apps mit Zugriff auf die Zwischenablage zugänglich. Auch ein Geräteverlust bedeute in solchen Fällen ein erhebliches Risiko für den Nutzer.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

Fraunhofer SIT hat die Passwortmanager mit dem selbst entwickelten Werkzeug “CodeInspect” getestet. Das Tool will Fraunhofer SIT ab dem 20. März auf der CeBIT in Hannover präsentieren. Weitere Details zu den inzwischen gepatchten Schwachstellen wollen die Forscher auf der Konferenz Hack In The Box präsentieren, die am 10. April in Amsterdam beginnt.

CodeInspect erlaubt es Rasthofer zufolge, die Sicherheit von Android- und iOS-Apps detailliert zu überprüfen, selbst wenn sie nicht im Quellcode vorliegen. “Sicherheitsanalysen von Apps gehören bei uns zum Tagesgeschäft.” Einige Fehler seien wohl eher aus Unachtsamkeit bei der Programmierung entstanden, andere seien jedoch wahrscheinlich absichtlich in die Apps eingebaut worden.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de