Android: Passwort-Manager mit SicherheitslĂĽcken
Passwort-Manager verwalten auf Smartphones diverse Zugangsdaten. Das ist zwar praktisch – doch nicht immer sind die Daten auch sicher verwahrt, wie das Fraunhofer SIT herausfand. Einige der untersuchten Apps wiesen gravierende Mängel auf.
Passwort-Manager sind praktisch, weil man sich nur noch ein Master-Passwort merken muss. Doch die Manager sind nicht immer sicher, wie das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in einer Untersuchung herausfand. Viele beliebte Passwort-Apps für Android wiesen gravierende Sicherheitsmängel auf. Gleich "mehrere Implementierungsfehler" entdeckten die Experten in den Apps LastPass, Dashlane, Keeper und 1Password.
Master-Passwort im Klartext
Weil einige der Apps beispielsweise das Master-Passwort im Klartext auf dem Smartphone ablegten, sei die Verschlüsselung der eigentlichen Passwörter leicht zu umgehen gewesen. Zudem hätten viele der Apps die Zwischenablage nicht gelöscht, nachdem Anmeldeinformationen darin kopiert wurden. Durch "Sniffing" könnten Unberechtigte an die Zugangsdaten gelangen. Es habe auch schon ausgereicht, dass sich Angreifer im selben Netzwerk wie ihr Opfer befanden, um Daten auszuspähen. Das größte Risiko sei aber ein Geräteverlust.
SicherheitslĂĽcken geschlossen
Das Fraunhofer SIT hat die Hersteller der Passwort-Manager informiert, alle hätten daraufhin die Sicherheitslücken geschlossen. Nutzer sollten darauf achten, die aktuelle Version der jeweiligen App zu verwenden. Details zu allen untersuchten Apps und deren Schwachstellen hat das SIT auf einer eigenen Website veröffentlicht. (dbe)