Fehlende Schnittstelle macht Smartphone-Passwortmanager unsicher

Passwortmanager auf Android-Smartphones sind nicht sehr sicher. Das hat eine Analyse (PDF) von Studierenden der Leibniz Universität Hannover ergeben. Die Nachwuchsforscher untersuchten 13 kostenlose und acht propritäre Passwortmanager (PM) auf einem Galaxy Nexus mit Android 4.0. Ihr Ergebnis: Android macht es Entwicklern nicht leicht, einen wirklich sicheren Passwortmanager zu entwickeln – eine dazu nötige API fehlt.

Wie die Forscher feststellen, gelten für Passwortmanager auf Smartphones andere Regeln, als für PM auf Desktop-Rechnern. Der Smartphone-PM kann sich nicht wie der für den Desktop direkt in einen Browser einklinken und muss darüber hinaus auch noch für Apps nutzbar sein. Da Android keine entsprechende API für die Integration von Passwortmanagern in Browsern oder Apps vorhält, lösen die Entwickler das Problem auf ihre ganz eigene – unsichere – Weise: Sie nutzen das OS-Clipboard, um Logindaten an den Browser oder an Apps auszuliefern.

Über das Clipboard kopieren auch die Nutzer ihre Logindaten aus den PM, um sie dann bei Apps oder im Smartphonebrowser einzufügen. Das ist problematisch, weil das Clipboard eine globale Ressource ist, auf die jede App ohne weitere Berechtigungen zugreifen kann. Doch noch schlimmer: Es gibt sogar einen systemweiten Benachrichtigungsdienst, über den sich eine App über jede Änderung des Clipboards informieren lassen kann (android.content.ClipboardManager.OnPrimaryClipChangedListener).

Das kann ein Trojaner nutzen, um alle Passwörter, die über das Clipboard weitergereicht werden, mitzulesen. Die Forscher haben genau dies mit ihrem Demoprogramm PWSniff umgesetzt. PWSniff läuft als Hintergrundprozess und benötigt keinerlei Rechte für diese Aufgabe. Das Programm sucht sich alle gewünschten Daten aus dem Smartphone zusammen, die nur richtig kombiniert werden müssen.

Wenn sich etwa beim Einfügen von Text ein bekannter Passwortmanager im Vordergrund befindet, handelt es sich bei dem Clipboard-Schnippsel wahrscheinlich um entweder eine URL, einen Account-Namen oder ein Passwort. Die nächste vom Anwender aktivierte App ist wahrscheinlich der Empfänger der Daten. Mit der Berechtigung GET_ACCOUNTS könnte der Sniffer auch noch die Benutzernamen des Android AccountManagers auslesen. Und über die derzeit geöffneten Verbindungen kann der Sniffer auch herausfinden, für welchen Server das Passwort gedacht ist. Diese Information stellt das ProcFS allen Apps bereit (via /proc/net/tcp). Als Letztes bleibt nur noch, die gesammelten Daten auf einen externen Server zu transportieren. Das implementierte PWSniff macht dies sogar, ohne die Permission für Internet Access anzufordern. Dazu öffnet es nach dem Abschalten des Displays eine passende URL mit dem Browser des Systems.

Die Forscher kontaktierten die PM-Entwickler im Anschluss an ihre Analyse und erfragten, wie es dazu gekommen sei, dass das Clipboard für die Passwortmanager genutzt wird. Bis auf einen der Befragten gaben alle an, dass sie sich bei einer Abwägung zwischen Sicherheit und Benutzerfreundlichkeit für das Letztere entschieden hätten. Der eine argumentierte, dass diese Art der Sicherung immer noch besser sei, als wenn Nutzer wegen fehlener Passwortmanager wieder zu mehr Passwort-Recycling greifen würden. Alle kritisierten den fehlenden Support für Drittanbieter von Passwortmanagern bei Android.

Dass diese ihre Berechtigung haben und eine Nachfrage besteht, verifizierten die Forscher in einer weiteren Analyse. Wie die Untersuchung feststellt, würden Passwortmanager aus zwei Gründen genutzt: Zum einen möchten die Nutzer der Vielzahl an verschiedenen Logindaten im Sinne der Sicherheit Herr werden. Zum anderen wünschen sie sich eine von Google unabhängige Software, da etwa die Standard-Verschlüsselung des Anroid-Browsers als unsicher gilt und die Sorge besteht, dass Google sämtliche Login-Daten im Verborgenen sammelt und speichert. (kbe)