Samsung-Smartphones verraten Passwörter
Die von Samsung auf seinen Android-Smartphones verwendete Tastatur speichert ungefragt bestimmte Passwörter und bietet diese beim Schreiben als Vorschlag im Klartext an. Dazu reichen bereits die richtigen Anfangsbuchstaben.
Die auf vielen Samsung-Smartphones mit Android installierte Tastatur geht mit Passwörtern geschwätziger um, als es dem Nutzer lieb sein kann: Sie schlägt beim Schreiben nicht nur einige häufig geschrieben Worte automatisch vor, sondern auch die am Gerät eingegebene Passwörter oder wenigstens Teile davon. Denn die übereifrige Komfortfunktion speichert auch in Passwortfeldern gemachte Eingaben und fügt sie ungefragt dem Wörterbuch hinzu.
Wenn die ersten eingetippten Buchstaben – zum Beispiel beim Mail schreiben– übereinstimmen, tauchen dann zuvor eingegebene Passwörter als Autokorrektur-Vorschlag auf. Ein Leser machte heise security auf das Phänomen beim schon unlängst negativ aufgefallenen Galaxy Note 2 aufmerksam. Auf einem aktuellen Galaxy S3 mit Android 4.1.2 und einem Galaxy S mit Android 2.3.6 konnten wir das Problem ebenfalls nachvollziehen.
Dabei ist es unerheblich, wo das Passwort zum Einsatz kommt. So taucht das Passwort für den Sperrbildschirm ebenso wie im Browser verwendete Zugangsdaten in den Vorschlägen auf. Nur in wenigen Fällen wird allerdings die ganze Phrase angezeigt, meist schlägt die Samsung-Tastatur lediglich einen Teil des Passworts vor. Kommt ein Sonderzeichen darin vor, werden zumindest die Buchstaben dahinter abgeschnitten. Ziffernfolgen merkt sich die Tastatur ebenfalls nicht, Phrasen mit einzelnen Zahlen landen dagegen durchaus im Wörterbuch.
Reine Buchstabenkombinationen werden indes bereits nach einem halben Dutzend Eingaben in die eigentlich geschützten Felder vollständig als Vorschlag angezeigt, wenn die ersten Buchstaben korrekt sind. So wurde in unseren Versuchen beim Eintippen von "ich" das Passwort "ichwillrein" vorgeschlagen.
Es empfiehlt sich also, keine bekannten Wörter zu verwenden und das ein oder andere Sonderzeichen einzustreuen, besonders wenn mehrere Nutzer das Gerät verwenden. Um die verräterische Anzeige ganz zu unterbinden, kann in der Einstellungen für die Samsung-Tastatur die Texterkennung abgeschaltet werden. Dann muss man aber vollständig auf Wortvorschläge und die Möglichkeit, Wörter mit Wischgesten einzugeben, verzichten.
In den Passwortfeldern gibt die Tastatur keine Wörter vor, an einem gesperrten Gerät lassen sich darüber also keine Zugangsdaten ausspionieren. Um auf verräterische Vorschläge zu stoßen braucht man ein bereits vom Besitzer entsperrtes Gerät. Dann hat man aber ohnehin Zugang zu vielen weiteren sensiblen Informationen.
Die aktuelle Standard-Tastatur von Android und die alternative Tastatur von Swiftkey, die ebenfalls mit Wortvorschlägen arbeiten, zeigten bei unseren Versuchen generell keine der verwendeten Passwörter an. Es ist aber nicht auszuschließen, dass auch andere Smartphones oder alternative Android-Tastaturen Passwörter in ihren eigenen Wörterbüchern sammeln. (asp)