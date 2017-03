Forscher des Fraunhofer SIT haben gravierende Sicherheitsmängel in Passwort-Manager-Apps für Android entdeckt – die wurden mittlerweile behoben. Nutzer sollten jetzt aber schnell updaten.

Passwort-Manager: Sicherheitslücken behoben, Update notwendig

Mehrere Passwort-Manager für Android-Geräte hatten offenbar gravierende Sicherheitslücken, wie Forscher des Fraunhofer-Instituts für Informationstechnologie SIT herausgefunden haben. Dank der beanstandeten Schwachstellen konnten Cyberkriminelle Zugriff auf geschützte Informationen erhalten. Mittlerweile haben alle Hersteller die Sicherheitslücken geschlossen. Nutzer sollten unbedingt darauf achten, dass sie die aktuelle, fehlerbereinigte Version der Passwort-Manager-App nutzen.

Sicherheitsforscher analysieren Passwort-Manager-Apps. (Bild: Fraunhofer SIT)

„Wir haben die Hersteller der betroffenen Passwort-Manager über die Sicherheitslücken informiert. Alle haben reagiert und die Verwundbarkeiten geschlossen“, erklärte Siegfried Rasthofer, Android-Experte am Fraunhofer SIT, in einer entsprechenden Mitteilung. Zu den betroffenen Apps gehören unter anderem die Anwendungen Mypasswords, Lastpass, Avast Passwords und 1Password. Eine Übersicht über alle Passwort-Manager und die jeweils entdeckten Sicherheitslücken gibt es hier.

Konkret speicherten einige der Passwort-Manager das eingegebene Master-Passwort im Klartext auf dem Smartphone. Angreifer könnten so die Verschlüsselung einfach umgehen und sich Zugriff auf die Daten verschaffen. Zudem wird laut den Sicherheitsforschern oft die Zwischenablage nicht bereinigt, nachdem dort die Anmeldeinformationen hinkopiert wurden. Das mache Sniffing möglich, das Auslesen der Zwischenablage könnte praktisch von jeder anderen App ausgeführt werden, warnen die Fraunhofer-Experten.

Passwort-Manager: Analysetool auf der Cebit

Gefunden haben die Sicherheitsforscher die Lücken in den Apps mit den eigens entwickelten Tools Codeinspect und Appicaptor. Damit können sowohl Android- als auch iOS-Apps untersucht werden, selbst wenn der Quellcode nicht vorliegt. Das Werkzeug Codeinspect wird das Fraunhofer SIT auf der Cebit Ende März vorstellen. Details der Analysen sollen auf der „Hack In The Box“-Konferenz in Amsterdam offengelegt werden.

Auch interessant in diesem Zusammenhang: Browser-Security – Autofill-Funktion ermöglicht Phishing-Angriffe