Nicht mal euer Passwort-Manager ist vor diesen Android-Bugs sicher

Nicht mal euer Passwort-Manager ist vor diesen Android-Bugs sicher

Android
Phishing-Apps gibt es für Android zur Genüge.
In allen Farben und Formen versuchen sie euch Informationen aus der Tasche zu ziehen. Gerade erst verpasst Google seinem Betriebssystem Android wieder Sicherheitspatches, da machen auch schon wieder die nächsten Mängel auf sich aufmerksam. So scheinen nun nicht einmal mehr Passwort-Manager vor den böswilligen Phishing-Apps sicher zu sein. Genauer leiten euch die Angreifer auf eigens kreierte Fake-Apps um, die Betroffenen private (Zugangs-)Daten entlocken sollen.Android-Passwort-Manager: Was können sie? An und für sich können Passwort-Manager im Punkt Datenschutz eine hilfreiche Rolle spielen. So sollen sie euch dabei helfen, eine Vielzahl unterschiedlicher und teils komplizierter Passwörter im Kopf – oder eben im Smartphone – zu behalten. .



Dafür verwendet der Manager eine Autofill-Funktion, sodass ihr lediglich ein einziges Master-Passwort benötigt, um euch anzumelden. Im Gegensatz zu herkömmlichen Managern für den Desktop müssen die Android-Apps im Rahmen des Login-Prozesses mit dem entsprechenden Web-Backend kommunizieren. Sie müssen also den Paketnamen (beispielsweise com.facebook.katana) mit der gewünschen URL (etwa facebook.com) verknüpfen, um das dazugehörige Passwort anbieten zu können.Was macht sie angreifbar?Die Vorgehensweise der Passwort-Manager macht es dem User zwar einfach, jedoch schwächt sie auch die Sicherheit der Passwörter, wie Sicherheitsforscher der Universität von Genua und der südfranzösischen EURECOM berichten. Denn der Google Play Store achtet darauf, dass keine gleichbenannten Android-Pakete eingespielt werden. Aufgrund mangelnder Prüfung können Phishing-Apps dem Manager allerdings dennoch Falschinformationen unterschieben.Die Folgen sind laut den Forschern beträchtlich: Der Nutzer kann mööglicherweise die ihm untergeschobene Fake-App (beispielsweise mit Namen com.facebook.evil) nicht als solche erkennen und wird dazu verleitet, dem Angreifer-Server per Passwort-Manager-Autofill sein Passwort zu schicken. .

Schreibe einen Kommentar

* Copy This Password *

* Type Or Paste Password Here *