Viele Passwort-Manager für Android sind nicht immer so sicher wie angenommen. Laut einer Untersuchung des Fraunhofer SIT wiesen einige Apps gravierende Sicherheitslücken auf. Darunter beliebte Passwort-Manager wie LastPass oder 1Password.
Ohne einen Passwort-Manager ist das digitale Leben kaum noch zu bewältigen. Statt unzähliger komplizierter Kennwörter muss der Nutzer nur ein einziges Master-Kennwort auswendig kennen. Die Login-Daten und andere Informationen für den Online-Alltag werden verschlüsselt in einer Datenbank gespeichert. Aber was, wenn die Software, die eure sensiblen Daten verwahrt grobe Sicherheitslücken aufweist? Das Fraunhofer SIT hat beliebte Passwort-Manager für Android analysiert. Ergebnis: Viele dieser Passwort-Apps waren unsicher. Einige Apps, darunter LastPass, Dashlane, Keeper und 1Password wiesen laut Untersuchung sogar „mehrere Implementierungsfehler“ auf.
Passwort-Manager sind für die meisten alternativlos. Hier findet ihr kostenlose Passwort-Manager.
Passwort-Manager ermöglichen einfaches Auslesen von Daten
Einige Passwort-Manager für Android speicherten das eingegebene Master-Passwort im Klartext auf dem Smartphone. Dadurch ist es für einen Angreifer einfach, die Verschlüsselung zu umgehen und auf die geheimen Daten zuzugreifen. Zudem ermöglichten mehrere Android-Apps das sogenannte „Sniffing“. Dieses Problem entsteht, wenn die Zwischenablage nicht bereinigt wird, nachdem die Login-Daten dorthin kopiert wurden. Zugriffe zum Auslesen der Zwischenablage könne man praktisch von jeder anderen App ausführen; und wer könne sich sicher sein, dass eine bestimmte andere App nicht gerade dies ausnutze und sich somit die Zugangsinformation für den Passwort-Manager verschaffe, so die Experten des Fraunhofer SIT. In weiteren Fällen reichte es aus, wenn sich der Hacker im selben Netzwerk befand. Auch ein Verlust des Smartphones hätte den Nutzer großen Risiken ausgesetzt.
Sicherheitslücken von den Herstellern geschlossen
Das Fraunhofer SIT hat die Hersteller der betroffenen Android-Passwort-Manager über die Ergebnisse informiert. Alle hätten darauf reagiert und die Sicherheitslücken geschlossen. Wer auf seinem Android-Gerät eine Passwort-App nutzt, sollte sicherstellen, ob diese auf dem neuesten Stand ist. Welche Android-Apps betroffen sind und Details zu den jeweiligen Schwachstellen findet ihr auf der eigens eingerichteten Website des SIT.