Du nutzt einen Passwort-Manager? Sehr löblich. Aber selbst diese Sicherheitsvorkehrung zum Schutz deiner Daten könnte bei Android nicht ausreichen. Denn es gibt Pishing-Apps, die den Schutz ins Gegenteil umkehren. Anstatt deine vertraulichen Informationen zu schützen, greifen diese Apps sie erst wieder ab. Mithilfe von Passwort-Managern!
Google hat gerade erst wieder ein paar Sicherheits-Updates für Android veröffentlicht – und schon geht die nächste Schwachstelle an den Start. Diese greift sich Passwort-Manager als Pishing-Opfer. Eigentlich ist ein Passwort-Manager ein wirklich praktisches Tool für deinen Kopf und für den Datenschutz. Du musst dir damit nicht eine Vielzahl komplizierter Passwörter merken, sondern lässt dein Smartphone sie für dich merken. Das hat auch den Vorteil, dass man vielleicht wirklich starke Passwörter wählt und nicht immer den Namen des Hundes oder den Geburtstag des Kindes …
Inhaltsverzeichnis
Passwort-Manager machen deine Passwörter unsicherer
Wenn du mit einem Passwort-Manager arbeitest, musst du dir dank Autofill nur ein einziges Passwort merken, das sogenannte Master Passwort. Dieses öffnet dann den Zugang zu allen gespeicherten Passwörtern im Passwort-Manager. So weit, so praktisch. Aber nicht gut. Denn Wissenschaftlicher haben jetzt bekannt gegeben, dass durch Passwort-Manager deine Passwörter generell geschwächt werden. Sie werden damit unsicherer.
Fake-Apps greift Passwörter via Autofill-Funktion ab
Android-Apps müssen beim Login mit dem Web-Backend kommunizieren, um das korrekte Passwort zur Verfügung stellen zu können – beispielsweise mit facebook.com. Der Google Play Store schaut zwar, dass es nicht zwei Android-Apps mit gleichem Namen gibt. Aber geprüft wird das nicht. So können Pishing Apps den Passwort-Manager austricksen und dir Fake-Apps unterjubeln, deren Paketnamen sich ähnlich anhört. Wenn du das nicht erkennst – was aufgrund der guten Machart wahrscheinlich ist – dann lässt sich der Hacker über die Autofill-Funktion des Passwort-Managers deine Zugangsdaten etc. schicken.
Ebenso riskant ist die Instant-Apps-Funktion von Android, mit der du Apps ohne diese downzuloaden, ausprobieren kannst. Sie könnte beispielsweise dazu genutzt werden, dich im Internet ebenfalls zu meist sehr gut gemachten Fake-Apps umzuleiten, dort deine Daten zu kassieren und sie wiederum per Autofill an den Hacker zu übermitteln.
Smart Lock von Google vor dieser Art von Pishing gefeit
Die gute Nachricht zum Schluss: Diese Sicherheitslücken gelten nicht für alle Passwort-Manager, so die Wissenschaftler. Smart Lock von Google kann nicht auf diese Art und Weise ausgetrickst werden, weil Hacker keine Fake-Paketnamen von Apps einschleusen können. Der Paketname einer App muss nämlich bereits in der Entwicklung gemeinsam mit der Ziel-URL angegeben werden.
Quelle: futurezone.de
Erstellt am: 17. Oktober 2018