Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Viele Android-Passwort-Manager unsicher

28.02.2017

Forscher des Fraunhofer SIT haben Lücken in Android-Passwort-Management-Apps gefunden – Nutzer sollten Apps aktualisieren

Das Fraunhofer-Institut für Informationstechnologie SIT hat gravierende Sicherheitslücken in Passwort-Apps für Android entdeckt. Bei vielen der beliebtesten Passwort-Manager konnten Cyberkriminelle leicht Zugriff auf die geschützten Informationen erhalten, beispielsweise, wenn sich der Angreifer im selben Netzwerk befindet.


Viele Android-Passwort-Apps sind nicht so sicher, wie man glaubt.

Fraunhofer SIT

Die Hersteller wurden informiert und haben die Fehler mittlerweile behoben. Nutzer sollten jedoch sicherstellen, dass sie die aktuelle App-Version verwenden. Die Details ihrer Analysen stellen die Experten des Fraunhofer SIT im April auf der „Hack In The Box“-Konferenz in Amsterdam vor. Das für die Tests genutzte Werkzeug CodeInspect zeigt das Institut bereits vom 20.-24. März in Halle 6 am Stand B 36 auf der CeBIT in Hannover.

Für jede Anwendung und jedes Benutzerkonto wird ein eigenes Passwort benötigt. Dadurch können Nutzer leicht den Überblick verlieren und Passwörter vergessen. Abhilfe schaffen Passwort-Manager: Dabei muss sich der Nutzer nur noch ein einziges Masterpasswort merken, alle anderen Zugänge und Passwörter werden sicher verschlüsselt in der Applikation gespeichert.

Doch was wenn die Sicherheitsmechanismen Fehler haben? Ein Forscherteam des Fraunhofer SIT hat eine Reihe beliebter Android-Passwort-Manager-Apps analysiert. Ergebnis: Viele dieser Passwort-Apps waren unsicher.

Unterschiedliche Implementierungsfehler

In einigen der analysierten Apps, darunter LastPass, Dashlane, Keeper und 1Password, fanden die Security-Experten gleich mehrere Implementierungsfehler, die zu ernsthaften Sicherheitslücken führten. „Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone“, erklärt Dr. Siegfried Rasthofer, Android-Experte am Fraunhofer SIT. Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.

Darüber hinaus ignorieren viele Anwendungen das Problem der Zwischenablage, wodurch ein sogenanntes „Sniffing“ möglich wird. Das bedeutet, die Zwischenablage wird nicht bereinigt, nachdem die Anmeldeinformationen dorthin kopiert wurden. Zugriffe zum Auslesen der Zwischenablage könnten praktisch von jeder anderen App ausgeführt werden; und wer kann sich sicher sein, dass eine bestimmte andere App nicht gerade dies ausnutzt und sich somit die Zugangsinformation für den Passwort-Manager verschafft. In anderen Fällen hätte es für Angreifer ausgereicht, sich im selben Netzwerk zu befinden, aber auch ein Geräteverlust hätte erhebliche Risiken für die Nutzer mit sich bringen können.

„Sicherheitsanalysen von Apps gehören bei uns zum Tagesgeschäft. Mit CodeInspect und Appicaptor haben wir eigene Werkzeuge entwickelt, mit denen wir Apps sehr effizient und detailliert auf ihre Sicherheit überprüfen können, selbst wenn uns die Apps nicht im Quellcode vorliegen.

Dies gilt sowohl für Android als auch für iOS“, erklärt Dr. Rasthofer. Mit seinen Werkzeugen konnte das Fraunhofer SIT bereits viele Schwachstellen in Apps aufdecken. Dazu gehören solche, die eher aus Unachtsamkeit bei der Programmierung entstanden sind, aber auch solche, die wahrscheinlich absichtlich in Apps eingebaut wurden.

Sicherheitslücken zwischenzeitlich geschlossen

denen sich die Apps Sicherheitsupdates aus dem App-Store herunterladen, sind die Probleme behoben. Wenn Nutzer keine automatischen Updates aktiviert haben, sollten die Applikationen umgehend aktualisiert werden. Welche Apps betroffen sind und weitere Details zu den jeweiligen Schwachstellen können unter http://sit4.me/pw-manager eingesehen werden.

Weitere Informationen:

https://team-sik.org/trent_portfolio/password-manager-apps/

Oliver Küch | Fraunhofer-Institut für Sichere Informationstechnologie SIT

Weitere Nachrichten aus der Kategorie CeBIT 2017:

nachricht Schnell und einfach: Edge Datacenter fürs Internet of Things
24.03.2017 | Rittal GmbH & Co. KG

nachricht Lifecycle IT: Erfolgsstory für Datacenter
22.03.2017 | Rittal GmbH & Co. KG

Alle Nachrichten aus der Kategorie: CeBIT 2017 >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Verbesserte Stabilität von Kunststoff-Leuchtdioden

Polymer-Leuchtdioden (PLEDs) sind attraktiv für den Einsatz in großflächigen Displays und Lichtpanelen, aber ihre begrenzte Stabilität verhindert die Kommerzialisierung. Wissenschaftler aus dem Max-Planck-Institut für Polymerforschung (MPIP) in Mainz haben jetzt die Ursachen der Instabilität aufgedeckt.

Bildschirme und Smartphones, die gerollt und hochgeklappt werden können, sind Anwendungen, die in Zukunft durch die Entwicklung von polymerbasierten...

Im Focus: Writing and deleting magnets with lasers

Study published in the journal ACS Applied Materials & Interfaces is the outcome of an international effort that included teams from Dresden and Berlin in Germany, and the US.

Scientists at the Helmholtz-Zentrum Dresden-Rossendorf (HZDR) together with colleagues from the Helmholtz-Zentrum Berlin (HZB) and the University of Virginia...

Im Focus: Gammastrahlungsblitze aus Plasmafäden

Neuartige hocheffiziente und brillante Quelle für Gammastrahlung: Anhand von Modellrechnungen haben Physiker des Heidelberger MPI für Kernphysik eine neue Methode für eine effiziente und brillante Gammastrahlungsquelle vorgeschlagen. Ein gigantischer Gammastrahlungsblitz wird hier durch die Wechselwirkung eines dichten ultra-relativistischen Elektronenstrahls mit einem dünnen leitenden Festkörper erzeugt. Die reichliche Produktion energetischer Gammastrahlen beruht auf der Aufspaltung des Elektronenstrahls in einzelne Filamente, während dieser den Festkörper durchquert. Die erreichbare Energie und Intensität der Gammastrahlung eröffnet neue und fundamentale Experimente in der Kernphysik.

Die typische Wellenlänge des Lichtes, die mit einem Objekt des Mikrokosmos wechselwirkt, ist umso kürzer, je kleiner dieses Objekt ist. Für Atome reicht dies...

Im Focus: Gamma-ray flashes from plasma filaments

Novel highly efficient and brilliant gamma-ray source: Based on model calculations, physicists of the Max PIanck Institute for Nuclear Physics in Heidelberg propose a novel method for an efficient high-brilliance gamma-ray source. A giant collimated gamma-ray pulse is generated from the interaction of a dense ultra-relativistic electron beam with a thin solid conductor. Energetic gamma-rays are copiously produced as the electron beam splits into filaments while propagating across the conductor. The resulting gamma-ray energy and flux enable novel experiments in nuclear and fundamental physics.

The typical wavelength of light interacting with an object of the microcosm scales with the size of this object. For atoms, this ranges from visible light to...

Im Focus: Wie schwingt ein Molekül, wenn es berührt wird?

Physiker aus Regensburg, Kanazawa und Kalmar untersuchen Einfluss eines äußeren Kraftfeldes

Physiker der Universität Regensburg (Deutschland), der Kanazawa University (Japan) und der Linnaeus University in Kalmar (Schweden) haben den Einfluss eines...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Internationale Konferenz zur Digitalisierung

19.04.2018 | Veranstaltungen

124. Internistenkongress in Mannheim: Internisten rücken Altersmedizin in den Fokus

19.04.2018 | Veranstaltungen

DFG unterstützt Kongresse und Tagungen - Juni 2018

17.04.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Nachhaltige und innovative Lösungen

19.04.2018 | HANNOVER MESSE

Internationale Konferenz zur Digitalisierung

19.04.2018 | Veranstaltungsnachrichten

Auf dem Weg zur optischen Kernuhr

19.04.2018 | Physik Astronomie

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics