Fatale Lücken: In gängigen Passwort-Managern für Android-Handys haben Forscher gravierende Sicherheitslücken gefunden. Bei vielen dieser Apps hätten Cyberkriminelle leicht Zugriff auf die geschützten Informationen erhalten können. Inzwischen gibt es Patches für diese Lücken, alle Nutzer sollten daher unbedingt ihre Passwort-Manager updaten, so der Rat der Forscher. Nur dann sind ihre Zugangsdaten in den Passwort-Managern weiterhin sicher.
Eigentlich sollen sie unsere Passwörter sicher verwahren – wie eine Art zentraler Safe für alle Zugangscodes. Passwort-Manager sind Apps, in die man alle im Alltag benötigten Passwörter sichern kann. Alle Zugänge und Passwörter werden sicher verschlüsselt in der Applikation gespeichert und für den Zugriff muss ich mir nun nur noch ein Masterpasswort merken – eine große Erleichterung im Passwörter-Dschungel.
Gleich mehrere Sicherheitslücken
Doch was, wenn ausgerechnet die Passwort-Manager nicht sicher sind? Gelingt es einem Hacker, diese App zu knacken, hat er freien Zugriff auf gleich alle unsere darin gespeicherten Passwörter – ein Supergau. Um herauszufinden, wie sicher gängige Passwort-Manager sind, hat ein Forscherteam des Fraunhofer Instituts für Sichere Informationstechnologie SIT jetzt eine Reihe beliebter Android-Passwort-Manager-Apps analysiert.
Das Ergebnis: Viele dieser Passwort-Apps waren unsicher. In einigen der analysierten Apps, darunter LastPass, Dashlane, Keeper und 1Password, fanden die Security-Experten gleich mehrere Implementierungsfehler, die zu ernsthaften Sicherheitslücken führten. In einigen Fällen hätte es für Angreifer ausgereicht, sich im selben Netzwerk zu befinden, aber auch ein Geräteverlust hätte erhebliche Risiken für die Nutzer mit sich bringen können.
Mangelnde Verschlüsselung und Risiko „Sniffing“
„Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone“, erklärt Siegfried Rasthofer vom Fraunhofer SIT. Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.
Darüber hinaus war bei vielen Anwendungen das sogenannte „Sniffing“ möglich. Das bedeutet, die Zwischenablage wird nicht bereinigt, nachdem die Anmeldeinformationen dorthin kopiert wurden. Praktisch jede andere App kann diese Daten dadurch aus der Zwischenablage auslesen – und wer kann sich sicher sein, dass eine bestimmte andere App nicht gerade dies ausnutzt und sich somit die Zugangsinformation für den Passwort-Manager verschafft.
Updates beheben das Problem
Immerhin: Die Hersteller der Passwort-Manager haben schnell auf diese Ergebnisse reagiert und entsprechende Updates veröffentlicht. Wer seine App so eingestellt hat, dass sie sich automatisch Sicherheitsupdates aus dem App-Store herunterlädt, muss daher keine Probleme und Lücken mehr befürchten, sagen die Fraunhofer-Forscher.
Wer jedoch keine automatischen Updates aktiviert hat, der sollte seine Passwort-Applikation umgehend aktualisieren. Welche Apps betroffen sind und weitere Details zu den jeweiligen Schwachstellen können unter http://sit4.me/pw-manager eingesehen werden.
(Fraunhofer-Institut für Sichere Informationstechnologie SIT, 01.03.2017 – NPO)
