Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren

Passwort-Manager für Android: Zwischenablage öffnet Dieben die Tür

Johannes Wallat
34

Wer sich viel im Netz bewegt, hat oft zig Passwörter und Nutzernamen. Sich die zu merken, fällt nicht immer leicht - deshalb nutzen viele einen Passwort-Manager. Für Browser wie Chrome oder Firefox gibt es die kleinen Helferlein als Plugin, Android-Nutzer müssen einen Umweg über Dritt-Apps gehen. Und das kann gefährlich sein - Studenten der Uni Hannover haben herausgefunden: Mobile Passwort-Manager-Apps für Android bergen ein großes Sicherheitsrisiko. Einen Lösungsvorschlag liefern die Forscher aber gleich mit.

Tresor
© Wikipedia

Die Jungforscher haben in ihrer Analyse 21 kostenlose und kostenpflichtige Passwortmanager geprüft, die laut Play Store je auf mindestens 2,5 Millionen Geräten installiert sind. Laut Forscherteam ist es die erste Untersuchung zur Sicherheit von Passwortmanagern (PM) auf mobilen Geräten, und was dabei herausgekommen ist, dürfte vielen nicht gefallen: Aufgrund von Benutzerfreundlichkeit (“usability”) nehmen die meisten Programmierer von Passwortmanagern Sicherheitslücken in ihren Apps wissentlich in Kauf.

Das Problem:

Die meisten modernen Webbrowser für den Desktop stellen eine Schnittstelle zur Verfügung, die es den Usern erlaubt, Plugins oder Erweiterungen zu installieren, zum Beispiel Passwortmanager. Bei mobilen Passwortmanagern ist das anders: Die mobilen Browser bieten keine vergleichbare API, zudem gibt es “für alles eine App”, auch für den Online-Zugang. Jede App müsste also eine Schnittstelle für Passwortmanager bieten; das erschwert deren Integration in das mobile System.

Android bietet Programmierern von Dritt-Apps wie Passwortmanagern keine Programmierschnittstelle (API) für die direkte Integration ihrer Programme in Browser und Apps. Deshalb nutzen alle mobilen Passwortmanager zur Übertragung von Passwörtern und Nutzernamen zwischen ihrem eigenen, durch ein Master-Passwort geschützten Datenspeicher und der Ziel-App einen Umweg: das Clipboard, also die Zwischenablage des Android-Systems.

Da aber alle Apps ohne eine explizite Berechtigung auf die Zwischenablage zugreifen und dort lesen und schreiben können, werden die sensiblen Daten, die eigentlich verschlüsselt auf dem Gerät oder in der Cloud gespeichert sind, theoretisch für alle Apps auf dem Gerät sichtbar gemacht. Böswillige Apps können also über die Zwischenablage Passwörter und Nutzernamen ausspähen und gleichzeitig erkennen, an welcher Stelle, also in welcher App oder auf welcher Website im Browser, welche Informationen eingegeben werden. Völlig neu ist diese Erkenntnis nicht, aber bisher wurde sie weitgehend verdrängt oder ignoriert.

Das Experiment:

Um ihre Thesen zu überprüfen, haben die Forscher eine Schnüffel-App namens PW Sniff programmiert, die die Sicherheitslücke gezielt ausnutzt und tatsächlich an die gewünschten Informationen kommt - ganz einfach und ohne, dass der User etwas davon mitbekommt.

Vereinfacht erklärt, läuft das Experiment wie folgt ab: Die App läuft im Hintergrund im Leerlauf, bekommt eine Benachrichtigung, wenn ein neues Element in die Zwischenablage kopiert wird, liest dann dessen Inhalt und kombiniert die Informationen mit Daten zu den aktuell im Vordergrund laufenden Apps oder den gerade geöffneten Websites. Die Annahme lautet: Die App, die gerade läuft, ist die App, aus der der User Inhalt kopiert; Wenn dies ein bekannter PM ist, dann ist es entweder eine URL, ein Nutzername oder ein Passwort.

KeePass
Auch das beliebte und sonst empfehlenswerte KeyPassDroid holt Passwörter in die Zwischenablage/ © KeePassDroid

Dann wartet PW Sniff darauf, dass eine neue App geöffnet wird - diese ist wahrscheinlich das Ziel für die vertraulichen Informationen. Ob es sich um Nutzernamen oder Passwort handelt, kann meistens aus der Struktur, also der Folge von Buchstaben und Zahlen, heraus interpretiert werden. Im nächsten Schritt gibt PW Sniff die Daten via Internet weiter. 92,8 Prozent von 13.500 beliebten Android-Apps erfordern einen Internet-Zugang. Eine App weckt also keinen Verdacht, wenn sie diese Erlaubnis einfordert.

Das Dilemma:

Dass die Zwischenablage kein sicherer Ort ist, dürfte zumindest Experten bekannt sein. Doch der Zwang zu höchstmöglicher “usability”, also Benutzerfreundlichkeit, zwingt die Programmierer zu einem Kompromiss: Die Forscher fanden durch gezieltes Nachfragen heraus, dass die Programmierer von Passwortmanagern auf die einfache, aber unsichere Copy & Paste-Funktion setzen, um so nah wie möglich an die Funktionalität von Desktop-PM-Anwendungen zu kommen und damit den User-Wünschen entgegenzukommen. Das Motto lautet: Bequemlichkeit vor Sicherheit. Außerdem, so argumentieren einige Programmierer, würden viele User ohne Passwortmanager einfachere Passwörter oder gleich ein und dasselbe Passwort für alle Seiten nutzen - hier müsse man also zwischen zwei Risikoszenarien abwägen.

Obwohl sich alle Entwickler bis auf einen des möglichen Sicherheitsrisikos bewusst waren, entschieden sie, dass Nutzerfreundlichkeit wichtiger ist als Sicherheit. Viele Entwickler rechtfertigten ihre Entscheidung damit, dass sie keine andere Wahl hatten und dass es notwendig sei, für größtmögliche Nutzerfreundlichkeit zu sorgen, auch wenn dadruch die Sicherheit beeinträchtigt wird.

[Although all but one developer were aware of the possible security threat, they decided that better usability was more important than stronger security. A justification multiple developers offered was that they had no other choice and that it was necessary to add the best possible usability even if security was threatened.]

Die Lösung:  

Was bleibt, ist die Kritik an den Android-Entwicklern, die den Programmierern von PM-Apps keine Programmierschnittstellen für die native Einbindung ihrer Apps in Dritt-Apps oder den Stock Browser anbieten. Die Forscher präsentieren für dieses Problem einen eigenen Lösungsansatz: Alle Apps, bei denen die Eingabe von Passwort und Nutzernamen benötigt wird, haben Softkeyboards und können auf eine gemeinsame Datenbasis zugreifen - zum Beispiel eine verschlüsselte Datei, in der die Passwörter und Nutzernamen als zusammenhängende Einheiten, sogenannte “Tupel”, gespeichert sind. Entsprechend haben sie eine Soft-Tastatur mit integriertem Passwort-Manager entwickelt, das USecPassBoard, das in jeder App und jedem Browser genutzt werden kann und die Speicherung und sichere Eingabe von Passwörtern und Benutzernamen übernimmt.

Ich finde diese Idee sehr interessant - die Sicherheit der Android-Plattform ist ein Thema, das immer aktuell ist, ständig kommen neue Warnungen vor Malware, Trojanern und sonstigem Ungeziefer. Da ist die Untersuchung des Forscherteams und ihr Lösungsansatz ein Schritt in die richtige Richtung. Aber wie immer beim Sicherheitsthema ist der beste Schutz natürlich die Sorgfalt: Wer nur Apps aus vertrauenswürdigen Quellen herunterlädt und sich aufmerksam den Berechtigungen widmet, bevor er mit der Installation beginnt, kann das Risiko schon von vorneherein minimieren. Außerdem kann man die Passwort-Manager auch ohne Zwischenablage nutzen - für ein paar Sekunden sollte man sich ein Passwort merken können.

Wie seht Ihr das? Benutzt Ihr Passwort-Manager auf dem Smartphone? Macht Ihr euch Sorgen um die Sicherheit Eurer Daten?

Kommentare

Neuen Kommentar schreiben:
  • Mugendon 27.03.2013 Link

    Benutze Keepass Droid und habe auch die Clipboard Funktion benutzt. Wusste bisher nicht, dass jede App einfach so darauf zugreifen kann.

    "und sich aufmerksam den Berechtigungen widmet" das is ja gerade das Blöde. Eine App, die lediglich die Inet Verbindung will, macht sich ja zunächst nicht wirklich verdächtig.

    0
  • Lukas B. 27.03.2013 Link

    und wo gibt es dieses UsecpassBoard?

    0
  • Anonymous 27.03.2013 Link

    Ich benutze weder noch das eine oder das andere. Hab alles in mein Kopf gespeichert und das sind echt nicht wenige ;-)

    0
  • Matti B. 27.03.2013 Link

    Das Prinzip mit der Tastatur wird von Tiny Password schon lange genutzt. https://play.google.com/store/apps/details?id=com.tinycouch.android.password

    0
  • User-Foto
    Alexander H. 27.03.2013 Link

    Ich nutze einen PM. Aber nur für den fall, das ich mal eines vergessen sollte. Und die Übertragung per copy paste kommt bei mir eh nicht in frage. Die Lösung wäre ein guter Schritt in eine sicherere Zukunft.

    0
  • Qbit 27.03.2013 Link

    Ohh, nicht mal ein Link zu PW Sniff. :-P

    Ich benutze KeePass auf dem Desktop und mobil. Letzteres jedoch nur sehr selten. Aber gibt es auf dem PC nicht ähnliche Probleme? Dort kann man ja zwischen Direkteingabe (Vorsicht Key Logger) und dem Kopieren in die Zwischenablage wählen. Ist die ZA denn dort viel sicherer? Würde mich mal interessieren.

    Danke für die Information AP, ich in Zukunft etwas vorsichtiger.

    0
  • Eichhornschweif 27.03.2013 Link

    Der sicherste Platz für Passwörter: Die App "Gehirn"! :D

    0
  • Qbit 27.03.2013 Link

    @Eichhornschweif
    Die finde ich im PlayStore garnicht. ;)

    Du hast auf jeden Fall recht, aber ich bin einfach nicht fähig mir 101 Passwörter (aktueller Stand meines PM) zu merken. Ich verwalte auch einige Webangebote für andere Leute und habe Webserver, da kommt schon was zusammen.

    0
  • PeterShow 27.03.2013 Link

    Naja, ein Keylogger kann die Passwörter auch rausbekommen. Und unsichere Passwörter oder überall gleiche Passwörter zu verwenden, ist weit gefährlicher als dass die Gefahr mit Passwortmanagern.

    0
  • Tilo W. 27.03.2013 Link

    Jeder der behauptet er könne sich alle seine Hochsicherheitspasswörter, die für jeden Dienst anders lauten, merken kann flunkert wohl etwas.
    Nach neuesten Erkenntnissen (siehe c't 3/13) sind selbst Passwort Sätze unsicher und nur wirklich zufällige PW -z.b. mit pwgen sicher.
    Ich selber nutze einen extrem einfachen PM, der auch keinen Internet Zugriff besitzt. Wer sagt euch, dass der Programmierer nicht alle PW sofort an seinen Server weiterleitet?!

    0
  • Conqueror 28.03.2013 Link

    @Wallet
    Welches ist denn nun die eine app die sicher ist?

    0
  • Tilo W. 28.03.2013 Link

    Schau dir beispielsweise mal Password Safe (Rhythm Software) an.
    Das ist ein einfacher PW Manager der aber ausschließlich Rechte hat auf die SD zu schreiben. Keine Internet Berechtigungen nix. Da kann per se einfach kein Trojaner drin sein - bzw kann er die Daten nicht an irgendwelche Leute verschicken.
    Bei Bankdaten oder anderen wichtigen PW würde ich da keiner App 100% vertrauen - das wäre nicht das erste mal, dass die App noch mehr "Features" verbaut hat als anfänglich gedacht...

    Es gibt mittlerweile aber auch ganz andere PW Systeme über einen Stick oder NFC. Mit denen kann man wirklich überall ein hochkomplexes PW benutzen.

    0
  • David Barrau 28.03.2013 Link

    @AndriodPit
    Das würde bedeuten das ich die, Android Pit Center App, LÖSCHEN sollte!? Da diese ebenfalls nicht imPlay Markt angeboten wird. Sondern bloß über den Browser "unsichere Quelle" Installiert werden kann muss.

    0
  • Andreas NOTE 28.03.2013 Link

    Die Sicherheit auf dem Smartphone ist sehr wichtig, hier sind oft persönlicher Daten drauf wie am PC. Aber der PC ist heute fast bei jeden mit Schutz Programmen bestückt, das Smartphone oft überhaupt nicht!
    Hier wird einfach zu wenig in Bezug Sicherheit gemacht!

    0
  • Johannes Wallat 28.03.2013 Link

    @Lukas Brunner: Das gibt es leider noch gar nicht.
    @Conqueror: Tja, das ist eine gute Frage. So richtig sicher scheint laut der Studie ja keiner der bekannten PM zu sein.
    @David Barrau: Nein, das bedeutet es nicht, es geht in meinem Artikel um Passwort Manager und nicht um Apps wie die von AndroidPIT.

    0
  • Lukas B. 28.03.2013 Link

    Bei der Tastatur frage ich mich dann aber, muss ich die dann dauernd brauchen? Ich benutze swiftkey und mag da n icht ändern, einfach, weil ich ab und zu mal ein PW eingeben muss. Da müsste es dann für mich irgendiwe eine switchlösung geben, wo ich dann auf diese spezielle tastatur zugreifen kann oder man kann den Apps jeweils die eine oder andere tastatur zuweisen.

    0
  • Jan S. 28.03.2013 Link

    Das mit dem Zwischenspeicher stört ja wirklich gewaltig! Zumal ich die Funktion nicht einmal benötige, da nur in dem Fall mal rein schaue, wenn ich es nicht mehr weiß, und dafür ist die App praktisch, da man so immer seine Passwörter dabei hat.

    Ich habe auch so verdammt viele Passwörter und zudem auch immer mal andere Benutzernamen, sowohl privat, als auch beruflich. Das kann sich doch kein Mensch merken. Klar wenn ich immer die gleichen Passwörter benutze könnte ich es mir sicherlich merken, aber dann ist die Zwischenablage wohl noch sicherer.

    Werde mich dann wohl mal nach einer Alternative zu KeePass Droid ohne Zwischenablage umsehen.

    0
  • PeterShow 28.03.2013 Link

    @AndroidPit

    "und gleichzeitig erkennen, an welcher Stelle, also in welcher App oder auf welcher Website im Browser, welche Informationen eingegeben werden."

    Woher können die Apps das erkennen? Wird das in der Zwischenablage gespeichert??

    @Jan S.

    "Werde mich dann wohl mal nach einer Alternative zu KeePass Droid ohne Zwischenablage umsehen."

    Und wie soll das funktionieren??

    0
  • Johannes Wallat 28.03.2013 Link

    @PeterShow: Es ist etwas kompliziert, das in einem Satz zu erklären. Die Studie erklärt das in Kapitel 3:

    "It is also possible to learn from which app a value was copied to the clipboard and into which app the value was pasted. If the target app has a special purpose (e. g. the Skype app only logs into Skype), it is easy to guess to which online service the harvested credentials belong.

    However, in case the target app is a multi-purpose Internet client such as a web browser, finding the intended service is not quite as straightforward.
    To learn for which account a password is used, an attacker can benefit from Android’s ProcFS features. The ProcFS is an interface to the kernel and provides information about a device such as information about the CPU, memory and network details. On Linux-based systems such as Android, the ProcFS is usually mounted at /proc. Most entries in /proc and its subdirectories can be read by everyone. The /proc/net/tcp file contains information about all TCP connections on an Android device and is also world-readable and hence accessible by every app without requiring any permissions. Information such as source IP and port, destination IP and port and the UID of the process that created the network connection are listed there. Since Android creates a static mapping of Apps to a UID at install time, one can easily learn which app connects to which Internet hosts based on the UID entry in /proc/net/tcp. Having the destination IP for an app’s network connection at hand allows an attacker to easily infer to which online service a credential pair is connected by logging all network connections of an app, immediately after a copy operation from a PM to another app was discovered."

    0
  • PeterShow 28.03.2013 Link

    @Johannes Wallat

    Ich kenne mich etwas mit Linux aus. Da hat nicht jedes Programm einfach die Rechte auf /proc. Es ist eine Sicherheitslücke von Android wenn jede App ohne besondere Rechte darauf zugreifen kann. Das würde ja auch heißen dass jede App mich auspionieren kann wo ich surfe etc.

    Das hier ist eine Sauerrei und gehört von Google gefixed:

    "Most entries in /proc and its subdirectories can be read by everyone. The /proc/net/tcp file contains information about all TCP connections on an Android device and is also world-readable and hence accessible by every app without requiring any permissions. Information such as source IP and port, "

    0
  • Johannes Wallat 28.03.2013 Link

    @PeterShow: Ja, das stimmt, du hast leider Recht. Genau das bemängeln die Autoren der Studio ja auch an Android.

    0
  • Flip 28.03.2013 Link

    Ich sehe da kein Problem.

    ich benutze KeePassDroid und der der Entwickler schreibt selbst: erst wenn man auf das entsprechende Icon klickt, wird die Zwischenablage angesprochen; automatisch wird da überhaupt nichts kopiert.

    Wer also Bedenken hat, sollte das Passwort aus KeePassDroid einfach ablesen, merken und dann eintippen.

    0
  • PeterShow 28.03.2013 Link

    "Wer also Bedenken hat, sollte das Passwort aus KeePassDroid einfach ablesen, merken und dann eintippen."

    Jo klar geht. Nur ab ich Passwörter mit 20-30 Zeichen und lauter Sonderzeichen wie ^*´'das tippt man nicht so schnell ab...

    0
  • Jan S. 28.03.2013 Link

    @ PeterShow

    Ich nutze einen Passwortsafe halt etwas anders. Ich brauche ihn selten wirklich fürs Smartphone selbst. Im Grunde ist der Safe für mich nur ein Zettel auf dem meine sämtlichen Kennwörter gespeichert sind.

    Als Beispiel wenn ich meinen Pin für die Packstation benötige, wenn ich gerade davor stehe. Möchte ich das Programm öffnen, ein Masterpasswort eingeben und ggfs. eine Schlüsseldatei auswählen und dann gucke ich halt nach wie mein Pin lautet. Oder der Code für die Alarmanlage im Haus meiner Eltern ich verwende die Passwörter außerhalb meines Smartphones, deshalb brauche ich keine Zwischenablage.

    @ Flip also bei mir nicht. Sobald ich einen Eintrag aufgerufen habe speichert er sowohl Passwort als auch Benutzername in die Zwischenablage.

    0
  • Flip 28.03.2013 Link

    @Jan S.: Sobald Du einen Eintrag aufrufst, erscheinen für User und Passwort Texte in der notification area, die besagen "User/Passwort in die Zwischenablage kopieren."
    Zu diesem Zeitpunkt ist aber noch nichts kopiert und wenn Du da nicht draufdrückst, wird auch nichts kopiert.

    @PeterShow: mag sein, die Alternative wäre, überhaupt keinen Passwortmanager zu nutzen, dann mußt Du Dir hunderte solcher Passwörter merken :-)

    0
  • Jürgen B. 28.03.2013 Link

    Bei mir werkelt LastPass und kommt mit einer eigenen Tastatur daher.

    0
  • PeterShow 29.03.2013 Link

    Keepass speichert nichts automatisch in die Zwischenablage, das ist falsch

    @Flip

    Genau. Deshalb nutzte ich auch einen Passwortmanager...

    0
  • PeterShow 29.03.2013 Link

    @Jürgen B.

    Sehr schön eine App mit Internetzugriff als Passwortmanager.. Da kann ich die Passwörter auch gleich bei Facebook posten...

    0
  • Jürgen B. 30.03.2013 Link

    @PeterShow
    Ja, du bist ein ganz schlaues Kerlchen!

    0
  • Dragon N. 30.03.2013 Link

    ich benutze aWallet wenn man das programm nicht offen lasst, man nichts kopieren kann. perfekt. Kein Zwischenspeicher.

    0
  • PeterShow 30.03.2013 Link

    @Jürgen B.

    Jedenfalls schlauer als du....

    0
  • PeterShow 30.03.2013 Link

    @Dragon N.

    Und wie bekommst du das Passwort vom aWallet in die App oder in den Browser??

    0
  • Philipp Crocoll 21.05.2013 Link

    Für alle, die hier über Keepassdroid sprechen: Meine App Keepass2Android (bzw. Keepass2Android Offline) hat inzwischen auch eine Tastatur, um das Zwischenablage-Problem zu vermeiden.

    0
  • Mirko H vor 10 Monaten Link

    Hallo, ich habe bei meiner Freundin einen Zettel in der Geldbörse gefunden wo sämtliche Passwörter incl. PIN drauf standen. Sie weiß natürlich selber, dass das ziemlich uncool ist aber sie sah keine andere Möglichkeit. Ich habe für Sie nach einem Passwort Manager gesucht aber keinen gefunden der ohne Berechtigungen aus kam, deshalb habe ich einfach selber einen gebaut, da ich zufällig Android Entwickler bin. Komplett ohne permissions, weder Internet oder Speicher aber trotzdem mit Import / Export - Funktion. (https://play.google.com/store/apps/details?id=com.mirsoft.passwordmemory).
    Allerdings benutze ich ebenfalls das Clipboard zum kopieren der Passwörter. Das Prinzip mit der Tastatur werde ich mir dann auch mal ansehen.

    0