Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Viele Android-Passwort-Manager unsicher

28.02.2017

Forscher des Fraunhofer SIT haben Lücken in Android-Passwort-Management-Apps gefunden – Nutzer sollten Apps aktualisieren

Das Fraunhofer-Institut für Informationstechnologie SIT hat gravierende Sicherheitslücken in Passwort-Apps für Android entdeckt. Bei vielen der beliebtesten Passwort-Manager konnten Cyberkriminelle leicht Zugriff auf die geschützten Informationen erhalten, beispielsweise, wenn sich der Angreifer im selben Netzwerk befindet.


Viele Android-Passwort-Apps sind nicht so sicher, wie man glaubt.

Fraunhofer SIT

Die Hersteller wurden informiert und haben die Fehler mittlerweile behoben. Nutzer sollten jedoch sicherstellen, dass sie die aktuelle App-Version verwenden. Die Details ihrer Analysen stellen die Experten des Fraunhofer SIT im April auf der „Hack In The Box“-Konferenz in Amsterdam vor. Das für die Tests genutzte Werkzeug CodeInspect zeigt das Institut bereits vom 20.-24. März in Halle 6 am Stand B 36 auf der CeBIT in Hannover.

Für jede Anwendung und jedes Benutzerkonto wird ein eigenes Passwort benötigt. Dadurch können Nutzer leicht den Überblick verlieren und Passwörter vergessen. Abhilfe schaffen Passwort-Manager: Dabei muss sich der Nutzer nur noch ein einziges Masterpasswort merken, alle anderen Zugänge und Passwörter werden sicher verschlüsselt in der Applikation gespeichert.

Doch was wenn die Sicherheitsmechanismen Fehler haben? Ein Forscherteam des Fraunhofer SIT hat eine Reihe beliebter Android-Passwort-Manager-Apps analysiert. Ergebnis: Viele dieser Passwort-Apps waren unsicher.

Unterschiedliche Implementierungsfehler

In einigen der analysierten Apps, darunter LastPass, Dashlane, Keeper und 1Password, fanden die Security-Experten gleich mehrere Implementierungsfehler, die zu ernsthaften Sicherheitslücken führten. „Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone“, erklärt Dr. Siegfried Rasthofer, Android-Experte am Fraunhofer SIT. Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.

Darüber hinaus ignorieren viele Anwendungen das Problem der Zwischenablage, wodurch ein sogenanntes „Sniffing“ möglich wird. Das bedeutet, die Zwischenablage wird nicht bereinigt, nachdem die Anmeldeinformationen dorthin kopiert wurden. Zugriffe zum Auslesen der Zwischenablage könnten praktisch von jeder anderen App ausgeführt werden; und wer kann sich sicher sein, dass eine bestimmte andere App nicht gerade dies ausnutzt und sich somit die Zugangsinformation für den Passwort-Manager verschafft. In anderen Fällen hätte es für Angreifer ausgereicht, sich im selben Netzwerk zu befinden, aber auch ein Geräteverlust hätte erhebliche Risiken für die Nutzer mit sich bringen können.

„Sicherheitsanalysen von Apps gehören bei uns zum Tagesgeschäft. Mit CodeInspect und Appicaptor haben wir eigene Werkzeuge entwickelt, mit denen wir Apps sehr effizient und detailliert auf ihre Sicherheit überprüfen können, selbst wenn uns die Apps nicht im Quellcode vorliegen.

Dies gilt sowohl für Android als auch für iOS“, erklärt Dr. Rasthofer. Mit seinen Werkzeugen konnte das Fraunhofer SIT bereits viele Schwachstellen in Apps aufdecken. Dazu gehören solche, die eher aus Unachtsamkeit bei der Programmierung entstanden sind, aber auch solche, die wahrscheinlich absichtlich in Apps eingebaut wurden.

Sicherheitslücken zwischenzeitlich geschlossen

denen sich die Apps Sicherheitsupdates aus dem App-Store herunterladen, sind die Probleme behoben. Wenn Nutzer keine automatischen Updates aktiviert haben, sollten die Applikationen umgehend aktualisiert werden. Welche Apps betroffen sind und weitere Details zu den jeweiligen Schwachstellen können unter http://sit4.me/pw-manager eingesehen werden.

Weitere Informationen:

https://team-sik.org/trent_portfolio/password-manager-apps/

Oliver Küch | Fraunhofer-Institut für Sichere Informationstechnologie SIT

Weitere Nachrichten aus der Kategorie CeBIT:

nachricht Erster Cloud-Park Deutschlands für energieintensive Edge-Szenarien
13.06.2018 | Rittal GmbH & Co. KG

nachricht Cooling für alle Edge-Szenarien – vom einzelnen Rack bis zum kompletten Datacenter
12.06.2018 | Rittal GmbH & Co. KG

Alle Nachrichten aus der Kategorie: CeBIT >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Neue interaktive Software: Maschinelles Lernen macht Autodesigns aerodynamischer

Neue Software verwendet erstmals maschinelles Lernen um Strömungsfelder um interaktiv designbare 3D-Objekte zu berechnen. Methode wird auf der renommierten SIGGRAPH-Konferenz vorgestellt

Wollen Ingenieure oder Designer die aerodynamischen Eigenschaften eines neu gestalteten Autos, eines Flugzeugs oder anderer Objekte testen, lassen sie den...

Im Focus: New interactive machine learning tool makes car designs more aerodynamic

Scientists develop first tool to use machine learning methods to compute flow around interactively designable 3D objects. Tool will be presented at this year’s prestigious SIGGRAPH conference.

When engineers or designers want to test the aerodynamic properties of the newly designed shape of a car, airplane, or other object, they would normally model...

Im Focus: Der Roboter als „Tankwart“: TU Graz entwickelt robotergesteuertes Schnellladesystem für E-Fahrzeuge

Eine Weltneuheit präsentieren Forschende der TU Graz gemeinsam mit Industriepartnern: Den Prototypen eines robotergesteuerten CCS-Schnellladesystems für Elektrofahrzeuge, das erstmals auch das serielle Laden von Fahrzeugen in unterschiedlichen Parkpositionen ermöglicht.

Für elektrisch angetriebene Fahrzeuge werden weltweit hohe Wachstumsraten prognostiziert: 2025, so die Prognosen, wird es jährlich bereits 25 Millionen...

Im Focus: Robots as 'pump attendants': TU Graz develops robot-controlled rapid charging system for e-vehicles

Researchers from TU Graz and their industry partners have unveiled a world first: the prototype of a robot-controlled, high-speed combined charging system (CCS) for electric vehicles that enables series charging of cars in various parking positions.

Global demand for electric vehicles is forecast to rise sharply: by 2025, the number of new vehicle registrations is expected to reach 25 million per year....

Im Focus: Der „TRiC” bei der Aktinfaltung

Damit Proteine ihre Aufgaben in Zellen wahrnehmen können, müssen sie richtig gefaltet sein. Molekulare Assistenten, sogenannte Chaperone, unterstützen Proteine dabei, sich in ihre funktionsfähige, dreidimensionale Struktur zu falten. Während die meisten Proteine sich bis zu einem bestimmten Grad ohne Hilfe falten können, haben Forscher am Max-Planck-Institut für Biochemie nun gezeigt, dass Aktin komplett von den Chaperonen abhängig ist. Aktin ist das am häufigsten vorkommende Protein in höher entwickelten Zellen. Das Chaperon TRiC wendet einen bislang noch nicht beschriebenen Mechanismus für die Proteinfaltung an. Die Studie wurde im Fachfachjournal Cell publiziert.

Bei Aktin handelt es sich um das am häufigsten vorkommende Protein in höher entwickelten Zellen, das bei Prozessen wie Zellstabilisation, Zellteilung und...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Das Architekturmodell in Zeiten der Digitalen Transformation

14.08.2018 | Veranstaltungen

EEA-ESEM Konferenz findet an der Uni Köln statt

13.08.2018 | Veranstaltungen

Digitalisierung in der chemischen Industrie

09.08.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Kleine Helfer bei der Zellreinigung

14.08.2018 | Biowissenschaften Chemie

Neue Oberflächeneigenschaften für holzbasierte Werkstoffe

14.08.2018 | Materialwissenschaften

Fraunhofer IPT unterstützt Zweitplatzierten bei SpaceX-Wettbewerb

14.08.2018 | Förderungen Preise

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics