Passwortsicherheit bedeutet vor allem, dass ihr möglichst komplexe Passwörter wählt – und zwar für jeden Dienst ein anderes. Bei der Vielzahl an täglich genutzten Diensten ist es kein Wunder, dass immer mehr Menschen diese Aufgabe an einen Passwortmanager auslagen. Eine neu entdeckte Android-Sicherheitslücke kann den so gewonnenen Security-Vorteil jedoch zunichtemachen.
Die drei Sicherheitsforscher Ankit Gangwal, Shubham Singh und Abhijeet Srivastava haben im Rahmen der Hacker-Konferenz Black Hat Europe eine Methode vorgestellt, mit der Angreifer:innen im Passwortmanager gespeicherte Login-Daten abgreifen können.
Android-Sicherheitslücke kann eure Passwörter abgreifen
Konkret funktioniert die Lücke wie folgt: Ruft eine Android-App über die ins System integrierte Webview eine Website auf, könnt ihr dort über die Ausfüllfunktion eures Passwortmanagers eure Login-Daten eingeben. Statt das Passwort aber einfach an die Website zu übergeben, könnte eine kompromittierte App die Passwörter abzapfen.
Vorstellbar wäre beispielsweise die Nutzung dieser Technik in einer App, die euch vorgeblich den Login über Google oder Facebook erlaubt, in Wahrheit so aber eure Passwörter stiehlt. Auch eine Fake-Shopping-App die es auf die Login-Daten eures Bezahldienstleisters abgesehen hat, wäre denkbar.
Android-Sicherheitslücke: Fast alle großen Passwortmanager sind betroffen
Die Sicherheitsforscher haben die Lücke nach eigenen Angaben mit einer Vielzahl an Passwortmanagern getestet. Darunter sind auch beliebte Lösungen wie 1 Password, Lastpass, Keeper und Enpass. Laut Techcrunch soll das Team von 1 Password bereits an einer Lösung arbeiten.
Konkurrent Lastpass wiederum soll bereits vor geraumer Zeit ein System implementiert haben, das Nutzer:innen vor der Ausnutzung der Sicherheitslücke durch eine App warnt.
Bis es betriebssystemseitig eine Lösung für das Problem gibt, sollten Nutzer:innen grundsätzlich vorsichtig sein, wenn sie innerhalb einer von einer App aufgerufenen Website Login-Daten aus ihrem Passwortmanager einfügen. Außerdem solltet ihr immer die Zwei-Faktor-Authentifizierung aktivieren, wenn sie angeboten wird.