Android-Passwort-Manager ist nicht sicher

13. Februar 2019 | by Jochen Siegle

Wissenschaftler-Teams der französischen IT-Security-Firma Eurecom und der Universität von Genua haben gemeinsam Android-Passwort-Management-Apps unter die Lupe genommenund kommen zum Ergebnis, dass von diesen Programmen massive Sicherheitsrisiken ausgehen können.

Im Rahmen der Untersuchung «Phishing-Angriffe auf modernes Android»testeten die IT-Spezialisten populäre Apps zur Verwaltung von Login-Daten; darunter die Apps Keeper, LastPass, Dashlane sowie 1Password. Diese Programme helfen den Nutzern von Android-Handys oder -Tablets dabei, unterschiedliche und gegebenenfalls komplizierte Passwörter für verschiedene Online-Dienste zu verwalten.

Den Login-Verwaltungs-Apps für Android-Gadgets fällt es der Analyse zufolge jedoch sehr schwer, zwischen legitimen und potenziell gefährlichen Fake-Apps zu unterscheiden. Damit sind Android-Nutzer, die entsprechende Tools einsetzen, kaum vor Phishing-Angriffen durch böswillige Apps geschützt.

 

Phishing durch Login-Verwaltung

 

Obwohl die ursprünglich für Desktop-PC-Browser entwickelten Passwort-Manager-Programme auf klassischen PCs als verhältnismässig sicher gelten, ist dies beim weltweit meistverbreiteten Mobile-Betriebssystem Android nicht der Fall. Die Experten benennen als Grund, dass die Login-Verwaltungs-Apps bei Android unter Umständen für eine Website gespeicherte Anmeldedaten auf dem mobilen Gerät einer falschen App zuordnen.

Viele Passwort-Manager nutzten für die Zuordnung schlicht nur den Namen des Installationspakets der App. Und eben diese Installationspakete können den Sicherheitsforschern zufolge relativ einfach gefälscht werden, wodurch Angreifer ahnungslosen Android-Nutzer auf eigens entwickelte Fake-Apps umleiten und Betroffenen sensible Zugangsdaten zu Websites entlocken können.

Gefälschte Facebook-Apps

Bei Tests mit gefälschten Facebook-Apps von verschiedenen Passwort-Managern konnten die Security-Spezialisten etwa die Anmeldedaten für das Social Network abrufen.

Die Experten warnen entsprechend vor der Nutzung dieser Apps. Googles hauseigener Passwort-Manager «Smart Lock» sei dagegen nicht von den beschriebenen Sicherheitsproblemen betroffen.

 

Mehr bei TechFieber zum Thema: , ,

Antwort schreiben