Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Viele Android-Passwort-Manager unsicher

28.02.2017

Forscher des Fraunhofer SIT haben Lücken in Android-Passwort-Management-Apps gefunden – Nutzer sollten Apps aktualisieren

Das Fraunhofer-Institut für Informationstechnologie SIT hat gravierende Sicherheitslücken in Passwort-Apps für Android entdeckt. Bei vielen der beliebtesten Passwort-Manager konnten Cyberkriminelle leicht Zugriff auf die geschützten Informationen erhalten, beispielsweise, wenn sich der Angreifer im selben Netzwerk befindet.


Viele Android-Passwort-Apps sind nicht so sicher, wie man glaubt.

Fraunhofer SIT

Die Hersteller wurden informiert und haben die Fehler mittlerweile behoben. Nutzer sollten jedoch sicherstellen, dass sie die aktuelle App-Version verwenden. Die Details ihrer Analysen stellen die Experten des Fraunhofer SIT im April auf der „Hack In The Box“-Konferenz in Amsterdam vor. Das für die Tests genutzte Werkzeug CodeInspect zeigt das Institut bereits vom 20.-24. März in Halle 6 am Stand B 36 auf der CeBIT in Hannover.

Für jede Anwendung und jedes Benutzerkonto wird ein eigenes Passwort benötigt. Dadurch können Nutzer leicht den Überblick verlieren und Passwörter vergessen. Abhilfe schaffen Passwort-Manager: Dabei muss sich der Nutzer nur noch ein einziges Masterpasswort merken, alle anderen Zugänge und Passwörter werden sicher verschlüsselt in der Applikation gespeichert.

Doch was wenn die Sicherheitsmechanismen Fehler haben? Ein Forscherteam des Fraunhofer SIT hat eine Reihe beliebter Android-Passwort-Manager-Apps analysiert. Ergebnis: Viele dieser Passwort-Apps waren unsicher.

Unterschiedliche Implementierungsfehler

In einigen der analysierten Apps, darunter LastPass, Dashlane, Keeper und 1Password, fanden die Security-Experten gleich mehrere Implementierungsfehler, die zu ernsthaften Sicherheitslücken führten. „Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone“, erklärt Dr. Siegfried Rasthofer, Android-Experte am Fraunhofer SIT. Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.

Darüber hinaus ignorieren viele Anwendungen das Problem der Zwischenablage, wodurch ein sogenanntes „Sniffing“ möglich wird. Das bedeutet, die Zwischenablage wird nicht bereinigt, nachdem die Anmeldeinformationen dorthin kopiert wurden. Zugriffe zum Auslesen der Zwischenablage könnten praktisch von jeder anderen App ausgeführt werden; und wer kann sich sicher sein, dass eine bestimmte andere App nicht gerade dies ausnutzt und sich somit die Zugangsinformation für den Passwort-Manager verschafft. In anderen Fällen hätte es für Angreifer ausgereicht, sich im selben Netzwerk zu befinden, aber auch ein Geräteverlust hätte erhebliche Risiken für die Nutzer mit sich bringen können.

„Sicherheitsanalysen von Apps gehören bei uns zum Tagesgeschäft. Mit CodeInspect und Appicaptor haben wir eigene Werkzeuge entwickelt, mit denen wir Apps sehr effizient und detailliert auf ihre Sicherheit überprüfen können, selbst wenn uns die Apps nicht im Quellcode vorliegen.

Dies gilt sowohl für Android als auch für iOS“, erklärt Dr. Rasthofer. Mit seinen Werkzeugen konnte das Fraunhofer SIT bereits viele Schwachstellen in Apps aufdecken. Dazu gehören solche, die eher aus Unachtsamkeit bei der Programmierung entstanden sind, aber auch solche, die wahrscheinlich absichtlich in Apps eingebaut wurden.

Sicherheitslücken zwischenzeitlich geschlossen

denen sich die Apps Sicherheitsupdates aus dem App-Store herunterladen, sind die Probleme behoben. Wenn Nutzer keine automatischen Updates aktiviert haben, sollten die Applikationen umgehend aktualisiert werden. Welche Apps betroffen sind und weitere Details zu den jeweiligen Schwachstellen können unter http://sit4.me/pw-manager eingesehen werden.

Weitere Informationen:

https://team-sik.org/trent_portfolio/password-manager-apps/

Oliver Küch | Fraunhofer-Institut für Sichere Informationstechnologie SIT

Weitere Nachrichten aus der Kategorie CeBIT:

nachricht Erster Cloud-Park Deutschlands für energieintensive Edge-Szenarien
13.06.2018 | Rittal GmbH & Co. KG

nachricht Cooling für alle Edge-Szenarien – vom einzelnen Rack bis zum kompletten Datacenter
12.06.2018 | Rittal GmbH & Co. KG

Alle Nachrichten aus der Kategorie: CeBIT >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Quantenkryptographie ist bereit für das Netz

Wiener Quantenforscher der ÖAW realisierten in Zusammenarbeit mit dem AIT erstmals ein quantenphysikalisch verschlüsseltes Netzwerk zwischen vier aktiven Teilnehmern. Diesen wissenschaftlichen Durchbruch würdigt das Fachjournal „Nature“ nun mit einer Cover-Story.

Alice und Bob bekommen Gesellschaft: Bisher fand quantenkryptographisch verschlüsselte Kommunikation primär zwischen zwei aktiven Teilnehmern, zumeist Alice...

Im Focus: An energy-efficient way to stay warm: Sew high-tech heating patches to your clothes

Personal patches could reduce energy waste in buildings, Rutgers-led study says

What if, instead of turning up the thermostat, you could warm up with high-tech, flexible patches sewn into your clothes - while significantly reducing your...

Im Focus: Tödliche Kombination: Medikamenten-Cocktail dreht Krebszellen den Saft ab

Zusammen mit einem Blutdrucksenker hemmt ein häufig verwendetes Diabetes-Medikament gezielt das Krebswachstum – dies haben Forschende am Biozentrum der Universität Basel vor zwei Jahren entdeckt. In einer Folgestudie, die kürzlich in «Cell Reports» veröffentlicht wurde, berichten die Wissenschaftler nun, dass dieser Medikamenten-Cocktail die Energieversorgung von Krebszellen kappt und sie dadurch abtötet.

Das oft verschriebene Diabetes-Medikament Metformin senkt nicht nur den Blutzuckerspiegel, sondern hat auch eine krebshemmende Wirkung. Jedoch ist die gängige...

Im Focus: Lethal combination: Drug cocktail turns off the juice to cancer cells

A widely used diabetes medication combined with an antihypertensive drug specifically inhibits tumor growth – this was discovered by researchers from the University of Basel’s Biozentrum two years ago. In a follow-up study, recently published in “Cell Reports”, the scientists report that this drug cocktail induces cancer cell death by switching off their energy supply.

The widely used anti-diabetes drug metformin not only reduces blood sugar but also has an anti-cancer effect. However, the metformin dose commonly used in the...

Im Focus: New Foldable Drone Flies through Narrow Holes in Rescue Missions

A research team from the University of Zurich has developed a new drone that can retract its propeller arms in flight and make itself small to fit through narrow gaps and holes. This is particularly useful when searching for victims of natural disasters.

Inspecting a damaged building after an earthquake or during a fire is exactly the kind of job that human rescuers would like drones to do for them. A flying...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Konferenz zu Usability und künstlicher Intelligenz an der Universität Mannheim

13.12.2018 | Veranstaltungen

Show Time für digitale Medizin-Innovationen

13.12.2018 | Veranstaltungen

ICTM Conference 2019 in Aachen: Digitalisierung als Zukunftstrend für den Turbomaschinenbau

12.12.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Forschungsprojekt FastCharge: Ultra-Schnellladetechnologie bereit für die Elektrofahrzeuge der Zukunft

13.12.2018 | Energie und Elektrotechnik

GFOS-Innovationsaward 2019: Anmeldung ab sofort möglich

13.12.2018 | Förderungen Preise

Quantenkryptographie ist bereit für das Netz

13.12.2018 | Informationstechnologie

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics