Passwortsicherheit bedeutet vor allem, dass ihr möglichst komplexe Passwörter wählt – und zwar für jeden Dienst ein anderes. Bei der Vielzahl an täglich genutzten Diensten ist es kein Wunder, dass immer mehr Menschen diese Aufgabe an einen Passwortmanager auslagen. Eine neu entdeckte Android-Sicherheitslücke kann den so gewonnenen Security-Vorteil jedoch zunichtemachen.
Die drei Sicherheitsforscher Ankit Gangwal, Shubham Singh und Abhijeet Srivastava haben im Rahmen der Hacker-Konferenz Black Hat Europe eine Methode vorgestellt, mit der Angreifer:innen im Passwortmanager gespeicherte Login-Daten abgreifen können.
Android-Sicherheitslücke kann eure Passwörter abgreifen
Konkret funktioniert die Lücke wie folgt: Ruft eine Android-App über die ins System integrierte Webview eine Website auf, könnt ihr dort über die Ausfüllfunktion eures Passwortmanagers eure Login-Daten eingeben. Statt das Passwort aber einfach an die Website zu übergeben, könnte eine kompromittierte App die Passwörter abzapfen.
Vorstellbar wäre beispielsweise die Nutzung dieser Technik in einer App, die euch vorgeblich den Login über Google oder Facebook erlaubt, in Wahrheit so aber eure Passwörter stiehlt. Auch eine Fake-Shopping-App die es auf die Login-Daten eures Bezahldienstleisters abgesehen hat, wäre denkbar.
Android-Sicherheitslücke: Fast alle großen Passwortmanager sind betroffen
Die Sicherheitsforscher haben die Lücke nach eigenen Angaben mit einer Vielzahl an Passwortmanagern getestet. Darunter sind auch beliebte Lösungen wie 1 Password, Lastpass, Keeper und Enpass. Laut Techcrunch soll das Team von 1 Password bereits an einer Lösung arbeiten.
Konkurrent Lastpass wiederum soll bereits vor geraumer Zeit ein System implementiert haben, das Nutzer:innen vor der Ausnutzung der Sicherheitslücke durch eine App warnt.
Bis es betriebssystemseitig eine Lösung für das Problem gibt, sollten Nutzer:innen grundsätzlich vorsichtig sein, wenn sie innerhalb einer von einer App aufgerufenen Website Login-Daten aus ihrem Passwortmanager einfügen. Außerdem solltet ihr immer die Zwei-Faktor-Authentifizierung aktivieren, wenn sie angeboten wird.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team