Noch kommt man im Internet kaum drum herum, sich Passwörter auszudenken. Damit man diese nicht vergisst und auch Unterstützung bei der Kreativität erhält, gibt es Passwortmanager. Doch bei Android-Handys ist deren Nutzung aktuell keine so gute Idee, wie man herausfand.
Passwortmanager bei Android-Handys: Hacker könnten Daten abgreifen
Wer sich nicht einfach auf „1234“ verlassen möchte, muss sich schon ein wenig mehr anstrengen, um auf eine sichere Zeichenabfolge zu kommen. Passwortmanager können in der Hinsicht unterstützen und mehrere verschiedene direkt verwalten. Das heißt aber auch: Aufgrund ihrer Funktion soll man in ihnen wichtige Login-Daten hinterlegen, die niemand sonst kennen sollte.
Vor Kurzem jedoch fanden die drei Sicherheitsforscher Ankit Gangwal, Shubham Singh und Abhijeet Srivastava heraus, dass bei Android-Handys eine Sicherheitslücke besteht, die den Vorteil von Passwortmanagern einfach annullieren könnte. Ihre Erkenntnisse stellten sie im Rahmen einer Konferenz vor. Demnach könnten Cyberkriminelle an die hinterlegten Daten kommen und sich unerlaubte Zugriffe auf allerlei Nutzungskonten verschaffen.
Auch interessant: Welches sind die zehn beliebtesten Passwörter Deutschlands? Wir haben eine Liste mit ziemlich einfallslosen Beispielen und wie schnell sie theoretisch gehackt werden könnten. Außerdem sagen wir dir, was „Andreas“ oder „Schalke“ als Passwörter so besonders macht.
Kompromittierte Ausfüllfunktion möglich
Die Lücken kann man ausnutzen, wenn eine App auf dem Android-Handy über die integrierte Webview eine Webseite aufruft, auf der man sich via der Ausfüllfunktion des Passwortmanagers einloggen möchte. Genau hier könnte es aber passieren, dass das Passwort in falsche Hände gerät, wenn die Anwendung zuvor gehackt wurde. Falsche Shopping-Apps, auf denen man die Login-Daten für Bezahldienstleister, oder welche, die einen Login bei Google oder Social Media erlauben, können möglich Einsatzgebiete sein.
Viele beliebte Passwort-Manager wie 1 Password, Lastpass, Keeper oder Enpass sollen betroffen sein. Wie TechCrunch berichtet, arbeitet man bei 1 Passwort bereits an einer Lösung. Lastpass wiederum soll schon vor einiger Zeit ein Warnsystem eingebaut haben.
Die einzelnen Entwicklerstudios können ihren Teil beitragen, allerdings ist auch Google gefragt, um die Lücke zu schließen. Solang das noch nicht passiert ist, sollten Nutzerinnen und Nutzer Vorsicht walten lassen – insbesondere, wenn sie eine Webseite aus einer App heraus öffnen und sich einloggen wollen.
Quellen: „AutoSpill: Credential Leakage from Mobile Password Managers“ (CODASPY ’23: Proceedings of the Thirteenth ACM Conference on Data and Application Security and Privacy 2023), TechCrunch
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.