Finger weg von Android Passwort-Managern

Wer sich die vielen Kennwörter nicht merken kann, greift zu Passwort-Managern, gerne auch auf Android-Geräten. Gängige Passwort-Apps haben aber Sicherheitslücken, wie ein kürzlich veröffentlichter Bericht enthüllt.


Anzeige

Dass die Verwendung eines Passwort-Managers keine wirklich gute Idee ist, haben diverse Hacks in der Vergangenheit bewiesen. Gelingt es einem Angreifer, den Passwort-Store zu öffnen, erhält er kompletten Zugriff auf die gespeicherten Anmeldedaten des Nutzers. Manches Master-Passwort wurde per Trojaner abgefischt und dann zum Auslesen der Daten benötigt.

Aber solche Klimmzüge sind teilweise unnötig. Da gibt es Passwort-Manager-Apps, die das Master-Passwort im Klartext speichern oder auch sonst gravierende Sicherheitslücken aufweisen. Der Passwort-Safe ist also ggf. löchrig wie ein Schweizer Käse.

Forscher des Fraunhofer SIT haben Lücken in Android-Passwort-Management-Apps gefunden und Ende Februar 2017 diese Pressemitteilung veröffentlicht. In einigen der analysierten Apps, darunter LastPass, Dashlane, Keeper und 1Password, fanden die Security-Experten gleich mehrere Implementierungsfehler, die zu ernsthaften Sicherheitslücken führten. „Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone", erklärt Dr. Siegfried Rasthofer, Android-Experte am Fraunhofer SIT. Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.

Darüber hinaus ignorieren viele Anwendungen das Problem der Zwischenablage, wodurch ein sogenanntes „Sniffing" möglich wird. Das bedeutet, die Zwischenablage wird nicht bereinigt, nachdem die Anmeldeinformationen dorthin kopiert wurden. Zugriffe zum Auslesen der Zwischenablage könnten praktisch von jeder anderen App ausgeführt werden; und wer kann sich sicher sein, dass eine bestimmte andere App nicht gerade dies ausnutzt und sich somit die Zugangsinformation für den Passwort-Manager verschafft. In anderen Fällen hätte es für Angreifer ausgereicht, sich im selben Netzwerk zu befinden, aber auch ein Geräteverlust hätte erhebliche Risiken für die Nutzer mit sich bringen können.

Die Pressemitteilung besagt zwar, dass die Apps aktualisiert und die Sicherheitslücken behoben wurden. Aber ich denke, das hält bis zur nächsten Lücke oder bis zum nächsten Trojaner. Und wenn die App oder das Gerät abstürzt, kommt man an seinen Passwort-Safe ggf. auch nicht mehr heran. Liegen die Daten dagegen in der Cloud, ist man auf deren Absicherung angewiesen. Alles eine wackelige Angelegenheit. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Finger weg von Android Passwort-Managern

  1. Elmar sagt:

    Guten Tag Herr Born,

    meiner Meinung nach ist es unerheblich, ob ein Trojaner nun das Master-Passwort des Passwort-Safes loggt oder über eine längere Zeit jedes einzelne Passwort, sobald ich mich bei unterschiedlichen Diensten anmelde. Wenn das System komprimiert ist, ist bereits der Worst Case eingetreten.
    Sie haben natürlich Recht, dass bei der Implementierung von Apps darauf geachtet werden muss, dass Sicherheitsaspekte eingehalten werden. Das Master-Passwort im Klartext zu speichern ist ein absolutes No-go!
    Ungeachtet dessen finde ich es bedenklich, die Verwendung von Passwortmanagern als gefährlich darzustellen. Es ist deutlich sicherer für jeden Account ein zufälliges und einzigartiges Passwort zu nutzen, als Passwörter doppelt zu verwenden. Sofern es eine Sicherheitslücke gibt (Bsp. Dropbox) können Angreifer die erbeuteten Logins fleißig bei anderen Diensten verwenden!

    Mit freundlichen Grüßen

    Elmar

    • Ralph sagt:

      Und was spricht dann gegen einen analogen Passowrtmanager? Wieso muss immer alles irgendwo dort gespeichert werden, wo es angreifbar ist? Ist das eigentlich reine Bequemlichkeit, dass heute keiner mehr das kleine Notizbuch samt Kugelschreiber nutzt? Abgesehen davon: die Verwendung von Passwortmanagern in digitaler Form IST gefährlich. Das Argument, dass es sicherer sei, exklusive Kennwörter für jeden Account zu verwenden, ist in diesem Falle keins. Wer das bis heute noch nicht begriffen hat, dem ist eh nicht zu helfen. Aber wieso man dann einen Passwortmanager in digitaler Form benötigt, erschliesst sich mir dabei dennoch nicht. Ist so ein Ding eine Voraussetzung für die Nutzung unterschiedlicher Kennwörter für unterschiedliche Accounts?

  2. Ryan sagt:

    Schaut man sich die Quelle dieser Meldung an (https://team-sik.org/sik-2016-022/) sieht man, dass bei LastPass nicht DAS "Masterpasswort im Klartext gespeichert" wird (wurde), sondern nur WENN man statt des Masterpassworts eine Pin nutzen will (was ich persönlich nie machen würde) DANN wurden Masterpasswort und Pin verschlüsselt und auch verschlüsselt abgelegt, aber der Key für diese Verschlüsselung lag hardcoded und nur etwas obfuscated vor:
    "The key/PIN are stored encrypted. The key for encrypting/decrypting the credentials is hard coded into the application's source code."

    Das ist zwar sicherheitstechnisch so gut wie identisch mit "Masterpasswort im Klartext speichern", da so das MP und die Pin leicht abgeleitet werden konnten – aber eben auch nur wenn man auf die (meiner Meinung nach wirre) Idee kommt, sein Masterpasswort lieber durch eine 4 stellige Pin zu ersetzen.

    Die Meldung (und auch die Überschrift im Bericht der Quelle) sind imho leider falsch, da so der Einruck geweckt wird, es würde wirklich immer das Masterpasswort ungesichert gespeichert.

  3. Heute gibt es Kaffee:D sagt:

    Passwort-Manager? haben die Leute alle keinen Kopf mehr zum denken oder was.
    Wer so blöd ist so etwas zu verwenden ist selber schuld,
    solcherlei Software gehört verboten!

    • sibu sagt:

      Wer soll das verbieten? der Staat? als Straftat, Ordnungswidrigkeit? Wie soll die Tat geahndet werden, Gefängnis, Geldbuße? Wer soll die Einhaltung überwachen? die Datenpolizei?

      Der Kaffeetrinker sollte mal überlegen, was für einen Blödsinn er von sich gibt. Und ob er alles im Kopf hat. Aber vielleicht passen solche Sprüche ja in die Zeiten von Trump und Co.: immer kräftig nachtreten, wird schon was hängen bleiben.

  4. Kai Nechter sagt:

    Die Fraunhofer SIT Studie legt keineswegs nahe, dass man die Finger von Android Passwort-Managern lassen sollte, sie hat lediglich Implementierungsfehler in einigen Produkten gefunden. Bei anderen, beispielsweise KeePass, ergaben sich keine Mängel. Außerdem sind die Alternativen bei der Gesamtbetrachtung mit zu berücksichtigen. In den meisten Fällen dürften die User größere "Implementierungsfehler" bei der Passwortnutzung aufweisen als selbst der schlechteste PW-Manager….

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.