{"id":188179,"date":"2017-03-05T08:49:53","date_gmt":"2017-03-05T07:49:53","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=188179"},"modified":"2019-05-17T06:23:25","modified_gmt":"2019-05-17T04:23:25","slug":"finger-weg-von-android-passwort-managern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/03\/05\/finger-weg-von-android-passwort-managern\/","title":{"rendered":"Finger weg von Android Passwort-Managern"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Wer sich die vielen Kennw\u00f6rter nicht merken kann, greift zu Passwort-Managern, gerne auch auf Android-Ger\u00e4ten. G\u00e4ngige Passwort-Apps haben aber Sicherheitsl\u00fccken, wie ein k\u00fcrzlich ver\u00f6ffentlichter Bericht enth\u00fcllt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/6367812738534e9d8d0b4ee75d77b757\" alt=\"\" width=\"1\" height=\"1\" \/>Dass die Verwendung eines Passwort-Managers keine wirklich gute Idee ist, haben diverse Hacks in der Vergangenheit bewiesen. Gelingt es einem Angreifer, den Passwort-Store zu \u00f6ffnen, erh\u00e4lt er kompletten Zugriff auf die gespeicherten Anmeldedaten des Nutzers. Manches Master-Passwort wurde per Trojaner abgefischt und dann zum Auslesen der Daten ben\u00f6tigt.<\/p>\n<p>Aber solche Klimmz\u00fcge sind teilweise unn\u00f6tig. Da gibt es Passwort-Manager-Apps, die das Master-Passwort im Klartext speichern oder auch sonst gravierende Sicherheitsl\u00fccken aufweisen. Der Passwort-Safe ist also ggf. l\u00f6chrig wie ein Schweizer K\u00e4se.<\/p>\n<p>Forscher des Fraunhofer SIT haben L\u00fccken in Android-Passwort-Management-Apps gefunden und Ende Februar 2017 <a href=\"https:\/\/web.archive.org\/web\/20170312201243\/https:\/\/www.sit.fraunhofer.de\/de\/news\/aktuelles\/presse\/details\/news-article\/viele-android-passwort-manager-unsicher\/\" target=\"_blank\" rel=\"noopener noreferrer\">diese Pressemitteilung<\/a> ver\u00f6ffentlicht. In einigen der analysierten Apps, darunter LastPass, Dashlane, Keeper und 1Password, fanden die Security-Experten gleich mehrere Implementierungsfehler, die zu ernsthaften Sicherheitsl\u00fccken f\u00fchrten. \u201eEinige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone\", erkl\u00e4rt Dr. Siegfried Rasthofer, Android-Experte am Fraunhofer SIT. Infolgedessen kann die Verschl\u00fcsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verf\u00fcgung \u2013 ohne dass der Nutzer dies merkt.<\/p>\n<p>Dar\u00fcber hinaus ignorieren viele Anwendungen das Problem der Zwischenablage, wodurch ein sogenanntes \u201eSniffing\" m\u00f6glich wird. Das bedeutet, die Zwischenablage wird nicht bereinigt, nachdem die Anmeldeinformationen dorthin kopiert wurden. Zugriffe zum Auslesen der Zwischenablage k\u00f6nnten praktisch von jeder anderen App ausgef\u00fchrt werden; und wer kann sich sicher sein, dass eine bestimmte andere App nicht gerade dies ausnutzt und sich somit die Zugangsinformation f\u00fcr den Passwort-Manager verschafft. In anderen F\u00e4llen h\u00e4tte es f\u00fcr Angreifer ausgereicht, sich im selben Netzwerk zu befinden, aber auch ein Ger\u00e4teverlust h\u00e4tte erhebliche Risiken f\u00fcr die Nutzer mit sich bringen k\u00f6nnen.<\/p>\n<p>Die Pressemitteilung besagt zwar, dass die Apps aktualisiert und die Sicherheitsl\u00fccken behoben wurden. Aber ich denke, das h\u00e4lt bis zur n\u00e4chsten L\u00fccke oder bis zum n\u00e4chsten Trojaner. Und wenn die App oder das Ger\u00e4t abst\u00fcrzt, kommt man an seinen Passwort-Safe ggf. auch nicht mehr heran. Liegen die Daten dagegen in der Cloud, ist man auf deren Absicherung angewiesen. Alles eine wackelige Angelegenheit. (<a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Android-Passwort-Manager-mit-Sicherheitsluecken-3640040.html\" target=\"_blank\" rel=\"noopener noreferrer\">via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wer sich die vielen Kennw\u00f6rter nicht merken kann, greift zu Passwort-Managern, gerne auch auf Android-Ger\u00e4ten. G\u00e4ngige Passwort-Apps haben aber Sicherheitsl\u00fccken, wie ein k\u00fcrzlich ver\u00f6ffentlichter Bericht enth\u00fcllt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,3575,4328],"class_list":["post-188179","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-passwort-manager","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/188179","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=188179"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/188179\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=188179"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=188179"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=188179"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}