Fraunhofer-Forscher entdecken gravierende Lücken: Viele Android-Passwort-Manager unsicher

Das Fraunhofer-Institut für Informationstechnologie SIT hat massive Sicherheitslücken in Passwort-Apps für Android entdeckt. Bei vielen der beliebtesten Passwort-Manager können Cyberkriminelle leicht sensible Informationen erhalten.

Besonders einfach könnte nach Einschätzung der Forscher ein Kriminellen-Zugriff funktionieren, wenn sich der Angreifer im selben Netzwerk befindet. Die Hersteller wurden informiert und haben die Fehler mittlerweile behoben – jedoch längst nicht alle Anwender. Nutzer sollten sicherstellen, dass sie die aktuelle App-Version verwenden. Die Details ihrer Analysen stellen die Experten des Fraunhofer SIT im April auf der »Hack In The Box«-Konferenz in Amsterdam vor. Das für die Tests genutzte Werkzeug »CodeInspect« zeigt das Fraunhofer-Institut bereits vom 20. Bis 24. März in Halle 6 am Stand B 36 auf der CeBIT in Hannover.

In einigen der analysierten Apps, darunter LastPass, Dashlane, Keeper und 1Password, fanden die Security-Experten gleich mehrere Implementierungsfehler, die zu ernsthaften Sicherheitslücken führten. »Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone«, erklärt Dr. Siegfried Rasthofer, Android-Experte am Fraunhofer SIT. Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.

Darüber hinaus ignorieren viele Anwendungen das Problem der Zwischenablage, wodurch ein sogenanntes »Sniffing« möglich wird. Das bedeutet, die Zwischenablage wird nicht bereinigt, nachdem die Anmeldeinformationen dorthin kopiert wurden. Zugriffe zum Auslesen der Zwischenablage könnten praktisch von jeder anderen App ausgeführt werden; und wer kann sich sicher sein, dass eine bestimmte andere App nicht gerade dies ausnutzt und sich somit die Zugangsinformation für den Passwort-Manager verschafft? In anderen Fällen hätte es für Angreifer ausgereicht, sich im selben Netzwerk zu befinden, aber auch ein Geräteverlust hätte erhebliche Risiken für die Nutzer mit sich bringen können.

»Sicherheitsanalysen von Apps gehören bei uns zum Tagesgeschäft. Mit CodeInspect und Appicaptor haben wir eigene Werkzeuge entwickelt, mit denen wir Apps sehr effizient und detailliert auf ihre Sicherheit überprüfen können, selbst wenn uns die Apps nicht im Quellcode vorliegen. Dies gilt sowohl für Android als auch für iOS«, erklärt Dr. Rasthofer. Mit seinen Werkzeugen konnte das Fraunhofer SIT bereits zahlreiche Schwachstellen in Apps aufdecken. Dazu gehören solche, die eher aus Unachtsamkeit bei der Programmierung entstanden sind, aber auch solche, die wahrscheinlich absichtlich in Apps eingebaut wurden.

Welche Apps betroffen sind und weitere Details zu den jeweiligen Schwachstellen können hier eingesehen werden.