Android: Phishing-Apps können Passwort-Manager ausspionieren

Passwort-Manager sind generell eine gute Idee: Sie helfen Anwendern dabei, unterschiedliche und komplizierte Passwörter für verschiedene Dienste zu verwalten. In der Regel erhöht dies die Sicherheit des Nutzers. Um das zu leisten, bieten die Programme dem Anwender basierend auf der URL einer Webseite an, Anmelde-Felder automatisch zu befüllen. Das klappt in Browsern besser als in Android-Apps – so jedenfalls das Fazit einer Studie von vier Sicherheitsforschern der Universität von Genua und der südfranzösischen EURECOM.

Die Forscher testeten die Android-Passwort-Manager Keeper, Dashlane, LastPass, 1Password und Googles Smart Lock und fanden heraus das alle Programme außer Smart Lock den Nutzer nicht genügend vor Phishing-Angriffen schützen. Im Gegensatz zu einem Desktop-Passwort-Manager muss die Android-Variante nämlich nicht nur einfach Login-Daten für eine bestimmte URL heraussuchen. Android-Passwort-Manager müssen in der Regel bei der Anmeldung in einer App statt mit der App selbst mit einem dazugehörigen Web-Backend sprechen. Das heißt, sie müssen einen Android-Paketnamen (zum Beispiel com.facebook.katana) mit einer URL (in diesem Fall facebook.com) verbinden und dann das entsprechende Passwort per Autofill anbieten.

Die Crux mit dem Paketnamen

Die Forscher beschreiben Möglichkeiten, wie ein Angreifer dem Nutzer eine gefälschte App unterschieben kann, die dann die Login-Daten für Facebook an einen anderen Server als facebook.com übermittelt. Zwar müssen Android-Paketnamen in Googles Play Store einzigartig sein, da die meisten Passwort-Manager das Mapping zwischen URL und Paketname allerdings per Heuristik erledigen, gibt es Szenarien, in denen der Angreifer dem Passwort-Manager eine bösartige App (etwa com.facebook.evil) unterschieben kann und dieser dann dem Nutzer ein Autofill anbietet. Der Nutzer, der vielleicht denkt, er benutze die echte Facebook-App, wird dann dazu verleitet, dem Angreifer-Server per Passwort-Manager-Autofill sein Passwort zu schicken. Erschwerend kommt hinzu, dass manche Passwort-Manager auch versteckte Felder in der App ausfüllen und dem Angreifer so weitere Tricks zur Verfügung stehen, Passwörter ohne das Wissen des Nutzers abzuziehen.

Zusätzlich postulieren die Forscher ein Angriffsszenario, welches die Instant-Apps-Funktion von Android missbraucht, um Phishing-Angriffe weiter zu erleichtern. Mit Instant Apps kann ein Anwender Android-Programme beim Besuch einer Webseite ausprobieren, ohne sie installieren zu müssen. In Zusammenhang mit den beschriebenen Techniken ist es nach Angaben der Forscher möglich, Anwender auf eine Webseite zu locken und von dort eine App zu starten, die genau wie eine legitime App aussieht, eingegebene Passwörter aber an den Angreifer schickt. Auch hier wird die Autofill-Funktion des Passwort-Managers missbraucht, der die App und die Ziel-Domain unter Umständen nicht richtig geprüft hat.

Google hat als Plattform-Besitzer einen klaren Vorteil

Googles Passwort-Manager Smart Lock ist von den Angriffen nicht betroffen, da Entwickler beim Einreichen ihrer App den Paketnamen und die Ziel-Domain angeben müssen. Auf Grund dieser Datenbank kann Google die Verbindung zwischen beiden eindeutig herstellen. Da andere Passwort-Manager keinen Zugang zu dieser Datenbank haben, müssen sie sich verschiedener heuristischer Maßnahmen bedienen und sind somit angreifbar.

Die Ergebnisse der Forscher sind im Detail in deren Paper nachlesbar: Phishing Attacks on Modern Android, Aonzo, Fratantonio et al. (fab)