Just haben wir Euch gezeigt, wie Ihr unter Android den Passwortmanager Keepass2Android nutzt, jetzt wollen wir die angesprochene Sicherheitslücke vieler Passwortmanager aufzeigen. Und zwar nicht rein theoretisch, sondern zum Nachmachen mit der Open Source App ClipCaster, zu bekommen bei F-Droid. Das Problem: Passwortmanager speichern Login-Daten gerne in der Zwischenablage und von dort können Sie von Malware einfach ausgelesen werden.

Just haben wir Euch gezeigt, wie Ihr unter Android den Passwortmanager Keepass2Android nutzt, jetzt wollen wir die angesprochene Sicherheitslücke vieler Passwortmanager aufzeigen. Und zwar nicht rein theoretisch, sondern zum Nachmachen mit der Open Source App ClipCaster, zu bekommen bei F-Droid. Das Problem: Passwortmanager speichern Login-Daten gerne in der Zwischenablage und von dort können Sie von Malware einfach ausgelesen werden.

ClipCaster überwacht also das Clipboard und speichert Logindaten als Klartext. Die App ist aber keine Malware sondern lediglich ein Proof of Concept zur Verdeutlichung der Lücke und zeigt die gefundenen Daten entsprechend nur offline auf Eurem Gerät – ClipCaster hat auch nicht die Berechtigung, um diese Daten zu verschicken. Installiert einfach die App, aktiviert das Monitoring über den einzigen verfügbaren Button, loggt Euch mittels Passwortmanager und Zwischenablage irgendwo ein und schaut dann in ClipCaster über das Uhr-Symbol, ob dort Daten zu finden sind. Neben den angegebenen „kompatiblen“ Safes funktioniert das Konzept auch mit dem von uns empfohlenen Keepass2Android – das aber wie beschrieben eine Alternative ohne Zwischenablage bietet.

Im Zweifelsfall funktioniert der Exploit auch mit weiteren Passwortsafes – die Lücke betrifft vor allem die Zwischenablage!

Bingo – ClipCaster hat meine Login-Daten korrekt abgegriffen.

Über den Autor

Mirco Lang

Mirco Lang

Am Anfang war der C-64 des großen Bruders des besten Freundes in der Grundschule ...

Der echte Technikwahn kam dann mit einer Ausbildung bei Saturn - als Computer noch erklärt werden mussten, Soundkarten benötigten, ein gutes Monatsgehalt kosteten und das Internet nur bei Nerds und mit 38 kbp/s lief, bestenfalls.

Ein Studium der Informationswirtschaft und ein paar Jahre als Redakteur bei Data Becker später, sitzt hier ein freier Journalist, der auf Old-School-Computing (cli ftw!), Free Software, Frickelei, Kodi und "Hundedinger" steht - und Grauseligkeiten wie Bild und Heftig.co zutiefst verabscheut.

Und sonst so? Sauerländer, BSI-Mitarbeiter, untalentierter Musikinstrumentebesitzer und seit 24 Jahren Skateboarder, ein ziemlich alter. Und manchmal kommt das abgebrochene Philo-Studium wieder durch ...

Sag' Deine Meinung