Jetzt mit AndroidPIT und Vodafone eins von drei Huawei P8 direkt zum Verkaufsstart gewinnen

Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren
Verfasst von:

Passwort-Manager für Android: Zwischenablage öffnet Dieben die Tür

Verfasst von: Johannes Wallat — 27.03.2013

Wer sich viel im Netz bewegt, hat oft zig Passwörter und Nutzernamen. Sich die zu merken, fällt nicht immer leicht - deshalb nutzen viele einen Passwort-Manager. Für Browser wie Chrome oder Firefox gibt es die kleinen Helferlein als Plugin, Android-Nutzer müssen einen Umweg über Dritt-Apps gehen. Und das kann gefährlich sein - Studenten der Uni Hannover haben herausgefunden: Mobile Passwort-Manager-Apps für Android bergen ein großes Sicherheitsrisiko. Einen Lösungsvorschlag liefern die Forscher aber gleich mit.

Tresor
© Wikipedia

Die Jungforscher haben in ihrer Analyse 21 kostenlose und kostenpflichtige Passwortmanager geprüft, die laut Play Store je auf mindestens 2,5 Millionen Geräten installiert sind. Laut Forscherteam ist es die erste Untersuchung zur Sicherheit von Passwortmanagern (PM) auf mobilen Geräten, und was dabei herausgekommen ist, dürfte vielen nicht gefallen: Aufgrund von Benutzerfreundlichkeit (“usability”) nehmen die meisten Programmierer von Passwortmanagern Sicherheitslücken in ihren Apps wissentlich in Kauf.

Das Problem:

Die meisten modernen Webbrowser für den Desktop stellen eine Schnittstelle zur Verfügung, die es den Usern erlaubt, Plugins oder Erweiterungen zu installieren, zum Beispiel Passwortmanager. Bei mobilen Passwortmanagern ist das anders: Die mobilen Browser bieten keine vergleichbare API, zudem gibt es “für alles eine App”, auch für den Online-Zugang. Jede App müsste also eine Schnittstelle für Passwortmanager bieten; das erschwert deren Integration in das mobile System.

Android bietet Programmierern von Dritt-Apps wie Passwortmanagern keine Programmierschnittstelle (API) für die direkte Integration ihrer Programme in Browser und Apps. Deshalb nutzen alle mobilen Passwortmanager zur Übertragung von Passwörtern und Nutzernamen zwischen ihrem eigenen, durch ein Master-Passwort geschützten Datenspeicher und der Ziel-App einen Umweg: das Clipboard, also die Zwischenablage des Android-Systems.

Da aber alle Apps ohne eine explizite Berechtigung auf die Zwischenablage zugreifen und dort lesen und schreiben können, werden die sensiblen Daten, die eigentlich verschlüsselt auf dem Gerät oder in der Cloud gespeichert sind, theoretisch für alle Apps auf dem Gerät sichtbar gemacht. Böswillige Apps können also über die Zwischenablage Passwörter und Nutzernamen ausspähen und gleichzeitig erkennen, an welcher Stelle, also in welcher App oder auf welcher Website im Browser, welche Informationen eingegeben werden. Völlig neu ist diese Erkenntnis nicht, aber bisher wurde sie weitgehend verdrängt oder ignoriert.

Das Experiment:

Um ihre Thesen zu überprüfen, haben die Forscher eine Schnüffel-App namens PW Sniff programmiert, die die Sicherheitslücke gezielt ausnutzt und tatsächlich an die gewünschten Informationen kommt - ganz einfach und ohne, dass der User etwas davon mitbekommt.

Vereinfacht erklärt, läuft das Experiment wie folgt ab: Die App läuft im Hintergrund im Leerlauf, bekommt eine Benachrichtigung, wenn ein neues Element in die Zwischenablage kopiert wird, liest dann dessen Inhalt und kombiniert die Informationen mit Daten zu den aktuell im Vordergrund laufenden Apps oder den gerade geöffneten Websites. Die Annahme lautet: Die App, die gerade läuft, ist die App, aus der der User Inhalt kopiert; Wenn dies ein bekannter PM ist, dann ist es entweder eine URL, ein Nutzername oder ein Passwort.

KeePass
Auch das beliebte und sonst empfehlenswerte KeyPassDroid holt Passwörter in die Zwischenablage/ © KeePassDroid

Dann wartet PW Sniff darauf, dass eine neue App geöffnet wird - diese ist wahrscheinlich das Ziel für die vertraulichen Informationen. Ob es sich um Nutzernamen oder Passwort handelt, kann meistens aus der Struktur, also der Folge von Buchstaben und Zahlen, heraus interpretiert werden. Im nächsten Schritt gibt PW Sniff die Daten via Internet weiter. 92,8 Prozent von 13.500 beliebten Android-Apps erfordern einen Internet-Zugang. Eine App weckt also keinen Verdacht, wenn sie diese Erlaubnis einfordert.

Das Dilemma:

Dass die Zwischenablage kein sicherer Ort ist, dürfte zumindest Experten bekannt sein. Doch der Zwang zu höchstmöglicher “usability”, also Benutzerfreundlichkeit, zwingt die Programmierer zu einem Kompromiss: Die Forscher fanden durch gezieltes Nachfragen heraus, dass die Programmierer von Passwortmanagern auf die einfache, aber unsichere Copy & Paste-Funktion setzen, um so nah wie möglich an die Funktionalität von Desktop-PM-Anwendungen zu kommen und damit den User-Wünschen entgegenzukommen. Das Motto lautet: Bequemlichkeit vor Sicherheit. Außerdem, so argumentieren einige Programmierer, würden viele User ohne Passwortmanager einfachere Passwörter oder gleich ein und dasselbe Passwort für alle Seiten nutzen - hier müsse man also zwischen zwei Risikoszenarien abwägen.

Obwohl sich alle Entwickler bis auf einen des möglichen Sicherheitsrisikos bewusst waren, entschieden sie, dass Nutzerfreundlichkeit wichtiger ist als Sicherheit. Viele Entwickler rechtfertigten ihre Entscheidung damit, dass sie keine andere Wahl hatten und dass es notwendig sei, für größtmögliche Nutzerfreundlichkeit zu sorgen, auch wenn dadruch die Sicherheit beeinträchtigt wird.

[Although all but one developer were aware of the possible security threat, they decided that better usability was more important than stronger security. A justification multiple developers offered was that they had no other choice and that it was necessary to add the best possible usability even if security was threatened.]

Die Lösung:  

Was bleibt, ist die Kritik an den Android-Entwicklern, die den Programmierern von PM-Apps keine Programmierschnittstellen für die native Einbindung ihrer Apps in Dritt-Apps oder den Stock Browser anbieten. Die Forscher präsentieren für dieses Problem einen eigenen Lösungsansatz: Alle Apps, bei denen die Eingabe von Passwort und Nutzernamen benötigt wird, haben Softkeyboards und können auf eine gemeinsame Datenbasis zugreifen - zum Beispiel eine verschlüsselte Datei, in der die Passwörter und Nutzernamen als zusammenhängende Einheiten, sogenannte “Tupel”, gespeichert sind. Entsprechend haben sie eine Soft-Tastatur mit integriertem Passwort-Manager entwickelt, das USecPassBoard, das in jeder App und jedem Browser genutzt werden kann und die Speicherung und sichere Eingabe von Passwörtern und Benutzernamen übernimmt.

Ich finde diese Idee sehr interessant - die Sicherheit der Android-Plattform ist ein Thema, das immer aktuell ist, ständig kommen neue Warnungen vor Malware, Trojanern und sonstigem Ungeziefer. Da ist die Untersuchung des Forscherteams und ihr Lösungsansatz ein Schritt in die richtige Richtung. Aber wie immer beim Sicherheitsthema ist der beste Schutz natürlich die Sorgfalt: Wer nur Apps aus vertrauenswürdigen Quellen herunterlädt und sich aufmerksam den Berechtigungen widmet, bevor er mit der Installation beginnt, kann das Risiko schon von vorneherein minimieren. Außerdem kann man die Passwort-Manager auch ohne Zwischenablage nutzen - für ein paar Sekunden sollte man sich ein Passwort merken können.

Wie seht Ihr das? Benutzt Ihr Passwort-Manager auf dem Smartphone? Macht Ihr euch Sorgen um die Sicherheit Eurer Daten?

Quelle: via Heise

Johannes bekam vor vier Jahren sein erstes Android-Smartphone, und das hat ihm so gut gefallen, dass er dem kleinen grünen Männchen seither treu geblieben ist. Ausführliche Testberichte, Vergleiche und Kameratests sind sein Steckenpferd, er liebt neue Hardware und stürzt sich auf alle Geräte und Gadgets, die in der Redaktion eintreffen. Seine Mission ist die Suche nach dem perfekten Smartphone, doch als gebürtiger Westfale ist er nicht so leicht zufrieden zu stellen. Sachdienliche Hinweise nimmt er jederzeit gerne entgegen!

34 Kommentare

Neuen Kommentar schreiben:
  • Mirko H 07.02.2014 Link zum Kommentar

    Hallo, ich habe bei meiner Freundin einen Zettel in der Geldbörse gefunden wo sämtliche Passwörter incl. PIN drauf standen. Sie weiß natürlich selber, dass das ziemlich uncool ist aber sie sah keine andere Möglichkeit. Ich habe für Sie nach einem Passwort Manager gesucht aber keinen gefunden der ohne Berechtigungen aus kam, deshalb habe ich einfach selber einen gebaut, da ich zufällig Android Entwickler bin. Komplett ohne permissions, weder Internet oder Speicher aber trotzdem mit Import / Export - Funktion. (https://play.google.com/store/apps/details?id=com.mirsoft.passwordmemory).
    Allerdings benutze ich ebenfalls das Clipboard zum kopieren der Passwörter. Das Prinzip mit der Tastatur werde ich mir dann auch mal ansehen.

    0
  • Philipp Crocoll 21.05.2013 Link zum Kommentar

    Für alle, die hier über Keepassdroid sprechen: Meine App Keepass2Android (bzw. Keepass2Android Offline) hat inzwischen auch eine Tastatur, um das Zwischenablage-Problem zu vermeiden.

    0
  • PeterShow 30.03.2013 Link zum Kommentar

    @Dragon N.

    Und wie bekommst du das Passwort vom aWallet in die App oder in den Browser??

    0
  • PeterShow 30.03.2013 Link zum Kommentar

    @Jürgen B.

    Jedenfalls schlauer als du....

    0
  • Dragon N. 30.03.2013 Link zum Kommentar

    ich benutze aWallet wenn man das programm nicht offen lasst, man nichts kopieren kann. perfekt. Kein Zwischenspeicher.

    0
  • Jürgen B. 30.03.2013 Link zum Kommentar

    @PeterShow
    Ja, du bist ein ganz schlaues Kerlchen!

    0
  • PeterShow 29.03.2013 Link zum Kommentar

    @Jürgen B.

    Sehr schön eine App mit Internetzugriff als Passwortmanager.. Da kann ich die Passwörter auch gleich bei Facebook posten...

    0
  • PeterShow 29.03.2013 Link zum Kommentar

    Keepass speichert nichts automatisch in die Zwischenablage, das ist falsch

    @Flip

    Genau. Deshalb nutzte ich auch einen Passwortmanager...

    0
  • Jürgen B. 28.03.2013 Link zum Kommentar

    Bei mir werkelt LastPass und kommt mit einer eigenen Tastatur daher.

    0
  • Flip 28.03.2013 Link zum Kommentar

    @Jan S.: Sobald Du einen Eintrag aufrufst, erscheinen für User und Passwort Texte in der notification area, die besagen "User/Passwort in die Zwischenablage kopieren."
    Zu diesem Zeitpunkt ist aber noch nichts kopiert und wenn Du da nicht draufdrückst, wird auch nichts kopiert.

    @PeterShow: mag sein, die Alternative wäre, überhaupt keinen Passwortmanager zu nutzen, dann mußt Du Dir hunderte solcher Passwörter merken :-)

    0
  • Jan S. 28.03.2013 Link zum Kommentar

    @ PeterShow

    Ich nutze einen Passwortsafe halt etwas anders. Ich brauche ihn selten wirklich fürs Smartphone selbst. Im Grunde ist der Safe für mich nur ein Zettel auf dem meine sämtlichen Kennwörter gespeichert sind.

    Als Beispiel wenn ich meinen Pin für die Packstation benötige, wenn ich gerade davor stehe. Möchte ich das Programm öffnen, ein Masterpasswort eingeben und ggfs. eine Schlüsseldatei auswählen und dann gucke ich halt nach wie mein Pin lautet. Oder der Code für die Alarmanlage im Haus meiner Eltern ich verwende die Passwörter außerhalb meines Smartphones, deshalb brauche ich keine Zwischenablage.

    @ Flip also bei mir nicht. Sobald ich einen Eintrag aufgerufen habe speichert er sowohl Passwort als auch Benutzername in die Zwischenablage.

    0
  • PeterShow 28.03.2013 Link zum Kommentar

    "Wer also Bedenken hat, sollte das Passwort aus KeePassDroid einfach ablesen, merken und dann eintippen."

    Jo klar geht. Nur ab ich Passwörter mit 20-30 Zeichen und lauter Sonderzeichen wie ^*´'das tippt man nicht so schnell ab...

    0
  • Flip 28.03.2013 Link zum Kommentar

    Ich sehe da kein Problem.

    ich benutze KeePassDroid und der der Entwickler schreibt selbst: erst wenn man auf das entsprechende Icon klickt, wird die Zwischenablage angesprochen; automatisch wird da überhaupt nichts kopiert.

    Wer also Bedenken hat, sollte das Passwort aus KeePassDroid einfach ablesen, merken und dann eintippen.

    0
  • Johannes Wallat 28.03.2013 Link zum Kommentar

    @PeterShow: Ja, das stimmt, du hast leider Recht. Genau das bemängeln die Autoren der Studio ja auch an Android.

    0
  • PeterShow 28.03.2013 Link zum Kommentar

    @Johannes Wallat

    Ich kenne mich etwas mit Linux aus. Da hat nicht jedes Programm einfach die Rechte auf /proc. Es ist eine Sicherheitslücke von Android wenn jede App ohne besondere Rechte darauf zugreifen kann. Das würde ja auch heißen dass jede App mich auspionieren kann wo ich surfe etc.

    Das hier ist eine Sauerrei und gehört von Google gefixed:

    "Most entries in /proc and its subdirectories can be read by everyone. The /proc/net/tcp file contains information about all TCP connections on an Android device and is also world-readable and hence accessible by every app without requiring any permissions. Information such as source IP and port, "

    0
  • Johannes Wallat 28.03.2013 Link zum Kommentar

    @PeterShow: Es ist etwas kompliziert, das in einem Satz zu erklären. Die Studie erklärt das in Kapitel 3:

    "It is also possible to learn from which app a value was copied to the clipboard and into which app the value was pasted. If the target app has a special purpose (e. g. the Skype app only logs into Skype), it is easy to guess to which online service the harvested credentials belong.

    However, in case the target app is a multi-purpose Internet client such as a web browser, finding the intended service is not quite as straightforward.
    To learn for which account a password is used, an attacker can benefit from Android’s ProcFS features. The ProcFS is an interface to the kernel and provides information about a device such as information about the CPU, memory and network details. On Linux-based systems such as Android, the ProcFS is usually mounted at /proc. Most entries in /proc and its subdirectories can be read by everyone. The /proc/net/tcp file contains information about all TCP connections on an Android device and is also world-readable and hence accessible by every app without requiring any permissions. Information such as source IP and port, destination IP and port and the UID of the process that created the network connection are listed there. Since Android creates a static mapping of Apps to a UID at install time, one can easily learn which app connects to which Internet hosts based on the UID entry in /proc/net/tcp. Having the destination IP for an app’s network connection at hand allows an attacker to easily infer to which online service a credential pair is connected by logging all network connections of an app, immediately after a copy operation from a PM to another app was discovered."

    0
  • PeterShow 28.03.2013 Link zum Kommentar

    @AndroidPit

    "und gleichzeitig erkennen, an welcher Stelle, also in welcher App oder auf welcher Website im Browser, welche Informationen eingegeben werden."

    Woher können die Apps das erkennen? Wird das in der Zwischenablage gespeichert??

    @Jan S.

    "Werde mich dann wohl mal nach einer Alternative zu KeePass Droid ohne Zwischenablage umsehen."

    Und wie soll das funktionieren??

    0
  • Jan S. 28.03.2013 Link zum Kommentar

    Das mit dem Zwischenspeicher stört ja wirklich gewaltig! Zumal ich die Funktion nicht einmal benötige, da nur in dem Fall mal rein schaue, wenn ich es nicht mehr weiß, und dafür ist die App praktisch, da man so immer seine Passwörter dabei hat.

    Ich habe auch so verdammt viele Passwörter und zudem auch immer mal andere Benutzernamen, sowohl privat, als auch beruflich. Das kann sich doch kein Mensch merken. Klar wenn ich immer die gleichen Passwörter benutze könnte ich es mir sicherlich merken, aber dann ist die Zwischenablage wohl noch sicherer.

    Werde mich dann wohl mal nach einer Alternative zu KeePass Droid ohne Zwischenablage umsehen.

    0
  • Lukas B. 28.03.2013 Link zum Kommentar

    Bei der Tastatur frage ich mich dann aber, muss ich die dann dauernd brauchen? Ich benutze swiftkey und mag da n icht ändern, einfach, weil ich ab und zu mal ein PW eingeben muss. Da müsste es dann für mich irgendiwe eine switchlösung geben, wo ich dann auf diese spezielle tastatur zugreifen kann oder man kann den Apps jeweils die eine oder andere tastatur zuweisen.

    0
  • Johannes Wallat 28.03.2013 Link zum Kommentar

    @Lukas Brunner: Das gibt es leider noch gar nicht.
    @Conqueror: Tja, das ist eine gute Frage. So richtig sicher scheint laut der Studie ja keiner der bekannten PM zu sein.
    @David Barrau: Nein, das bedeutet es nicht, es geht in meinem Artikel um Passwort Manager und nicht um Apps wie die von AndroidPIT.

    0
Zeige alle Kommentare