Sicherheitslücken bei neun Passwort-Managern für Android (LastPass, Dashlane ..)

Sicherheitsforscher des Fraunhofer-Instituts stellten in neun Passwort-Managern für Android schwerwiegende Sicherheitslücken fest, die sie im Rahmen ihrer Untersuchungen analysierten.

Kennwortmanager sind eine beliebte Option zum Speichern von Authentifizierungsinformationen. Alle versprechen eine sichere Speicherung entweder lokal oder per Fernzugriff. Einige bieten möglicherweise zusätzliche Funktionen wie die Erstellung von Passwörtern, automatische Anmeldungen oder das Speichern wichtiger Daten wie Kreditkartennummern oder PINs.

In einer aktuellen Studie des Fraunhofer-Instituts wurden neun Passwort-Manager für Googles Android-Betriebssystem aus Sicherheitsgründen untersucht. Die Forscher analysierten die folgenden Kennwortmanager: LastPass, 1Password, My Passwords, Dashlane Password Manager, Informaticores Kennwortmanager, F-Secure KEY, Keepsafe, Keeper und Avast Passwords.

Einige der Apps haben mehr als 50 Millionen Installationen und alle mindestens 100.000 Installationen.

Passwort-Manager auf Android-Sicherheitsanalyse

Die Schlussfolgerung des Teams sollte jeden beunruhigen, der einen Passwort-Manager auf Android implementiert. Es ist zwar unklar, ob andere Password Manager-Anwendungen für Android ebenfalls Sicherheitslücken aufweisen, es besteht jedoch zumindest die Möglichkeit, dass dies tatsächlich der Fall ist.

Das Gesamtergebnis war äußerst besorgniserregend und ergab, dass Kennwortmanageranwendungen trotz ihrer Behauptungen nicht genügend Schutzmechanismen für die gespeicherten Kennwörter und Anmeldeinformationen bieten. Stattdessen missbrauchen sie das Vertrauen der Benutzer und setzen sie hohen Risiken aus.

In jeder der von den Forschern analysierten Apps wurde mindestens eine Sicherheitslücke festgestellt. Dies betraf einige Anwendungen, in denen der Hauptschlüssel im Klartext gespeichert war, und andere, in denen fest codierte kryptografische Schlüssel im Code verwendet wurden. In einem anderen Fall wurden bei der Installation einer einfachen Hilfsanwendung die von der Kennwortanwendung gespeicherten Kennwörter extrahiert.

Allein in LastPass wurden drei Sicherheitslücken identifiziert. Zuerst ein fest codierter Hauptschlüssel, dann Datenlecks bei der Browsersuche und schließlich eine Sicherheitsanfälligkeit, die LastPass unter Android 4.0.x und niedriger betrifft und es Angreifern ermöglicht, das gespeicherte Hauptkennwort zu stehlen.

  • SIK-2016-022: Hardcoded Master Key in LastPass Password Manager
  • SIK-2016-023: Datenschutz, Datenverlust bei der LastPass-Browsersuche
  • SIK-2016-024: Privates Datum (gespeichertes Hauptkennwort) von LastPass Password Manager lesen

In Dashlane, einer weiteren beliebten Anwendung für den Kennwort-Manager, wurden vier Sicherheitslücken festgestellt. Durch diese Sicherheitsanfälligkeiten konnten Angreifer private Daten aus dem App-Ordner lesen, Informationslecks missbrauchen und einen Angriff ausführen, um das Hauptkennwort zu extrahieren.

  • SIK-2016-028: Lesen Sie private Daten aus dem App-Ordner in Dashlane Password Manager
  • SIK-2016-029: Informationsleck in der Google-Suche im Dashlane Password Manager-Browser
  • SIK-2016-030: Residue Attack Extracting Masterpassword von Dashlane Password Manager
  • SIK-2016-031: Verlust von Subdomain-Kennwörtern im internen Dashlane Password Manager-Browser

Die beliebte 1Password-Anwendung für Android 4 wies fünf Sicherheitslücken auf, darunter Datenschutzprobleme und Passwortlecks.

  • SIK-2016-038: Verlust des Subdomain-Passworts im internen 1Password-Browser
  • SIK-2016-039: HTTP-Downgrade auf http-URL standardmäßig im internen 1Password-Browser
  • SIK-2016-040: Titel und URLs in 1Password-Datenbank nicht verschlüsselt
  • SIK-2016-041: Private Daten aus dem App-Ordner in 1Password Manager lesen
  • SIK-2016-042: Datenschutzproblem, Informationen an Anbieter 1Password Manager weitergegeben

Die vollständige Liste der analysierten Apps und die Schwachstellen finden Sie auf der Website des Fraunhofer-Instituts.

Hinweis : Alle gemeldeten Sicherheitslücken wurden von den Unternehmen behoben, die die Anwendungen entwickeln. Einige Korrekturen befinden sich noch in der Entwicklung. Es wird empfohlen, dass Sie die Anwendungen so schnell wie möglich aktualisieren, wenn Sie sie auf Ihren Mobilgeräten ausführen.

Das Fazit des Forscherteams ist ziemlich verheerend:

Dies zeigt, dass selbst die grundlegendsten Funktionen eines Passwort-Managers häufig anfällig sind. Diese Apps bieten jedoch auch zusätzliche Funktionen, die wiederum die Sicherheit beeinträchtigen können. Wir haben festgestellt, dass zum Beispiel Auto-Fill-Funktionen für Anwendungen missbraucht werden können, um die gespeicherten Geheimnisse der Passwort-Manager-Anwendung mithilfe von "versteckten Phishing" -Angriffen zu stehlen. Zur besseren Unterstützung des automatischen Ausfüllens von Kennwortformularen auf Webseiten stellen einige Anwendungen ihre eigenen Webbrowser zur Verfügung. Diese Browser sind eine zusätzliche Quelle für Sicherheitslücken, z. B. Datenschutzverluste.

Now You : Verwenden Sie eine Passwort-Manager-Anwendung? (über The Hacker News)