Warnung: App demonstriert Sicherheitslücke bei Passwortmanagern unter Android
Just haben wir Euch gezeigt, wie Ihr unter Android den Passwortmanager Keepass2Android nutzt, jetzt wollen wir die angesprochene Sicherheitslücke vieler Passwortmanager aufzeigen. Und zwar nicht rein theoretisch, sondern zum Nachmachen mit der Open Source App ClipCaster, zu bekommen bei F-Droid. Das Problem: Passwortmanager speichern Login-Daten gerne in der Zwischenablage und von dort können Sie von Malware einfach ausgelesen werden.
ClipCaster überwacht also das Clipboard und speichert Logindaten als Klartext. Die App ist aber keine Malware sondern lediglich ein Proof of Concept zur Verdeutlichung der Lücke und zeigt die gefundenen Daten entsprechend nur offline auf Eurem Gerät - ClipCaster hat auch nicht die Berechtigung, um diese Daten zu verschicken. Installiert einfach die App, aktiviert das Monitoring über den einzigen verfügbaren Button, loggt Euch mittels Passwortmanager und Zwischenablage irgendwo ein und schaut dann in ClipCaster über das Uhr-Symbol, ob dort Daten zu finden sind. Neben den angegebenen "kompatiblen" Safes funktioniert das Konzept auch mit dem von uns empfohlenen Keepass2Android - das aber wie beschrieben eine Alternative ohne Zwischenablage bietet.