Just haben wir Euch gezeigt, wie Ihr unter Android den Passwortmanager Keepass2Android nutzt, jetzt wollen wir die angesprochene Sicherheitslücke vieler Passwortmanager aufzeigen. Und zwar nicht rein theoretisch, sondern zum Nachmachen mit der Open Source App ClipCaster, zu bekommen bei F-Droid. Das Problem: Passwortmanager speichern Login-Daten gerne in der Zwischenablage und von dort können Sie von Malware einfach ausgelesen werden.

Just haben wir Euch gezeigt, wie Ihr unter Android den Passwortmanager Keepass2Android nutzt, jetzt wollen wir die angesprochene Sicherheitslücke vieler Passwortmanager aufzeigen. Und zwar nicht rein theoretisch, sondern zum Nachmachen mit der Open Source App ClipCaster, zu bekommen bei F-Droid. Das Problem: Passwortmanager speichern Login-Daten gerne in der Zwischenablage und von dort können Sie von Malware einfach ausgelesen werden.

ClipCaster überwacht also das Clipboard und speichert Logindaten als Klartext. Die App ist aber keine Malware sondern lediglich ein Proof of Concept zur Verdeutlichung der Lücke und zeigt die gefundenen Daten entsprechend nur offline auf Eurem Gerät – ClipCaster hat auch nicht die Berechtigung, um diese Daten zu verschicken. Installiert einfach die App, aktiviert das Monitoring über den einzigen verfügbaren Button, loggt Euch mittels Passwortmanager und Zwischenablage irgendwo ein und schaut dann in ClipCaster über das Uhr-Symbol, ob dort Daten zu finden sind. Neben den angegebenen „kompatiblen“ Safes funktioniert das Konzept auch mit dem von uns empfohlenen Keepass2Android – das aber wie beschrieben eine Alternative ohne Zwischenablage bietet.

Im Zweifelsfall funktioniert der Exploit auch mit weiteren Passwortsafes - die Lücke betrifft vor allem die Zwischenablage!

Im Zweifelsfall funktioniert der Exploit auch mit weiteren Passwortsafes – die Lücke betrifft vor allem die Zwischenablage!

clipcaster

Bingo – ClipCaster hat meine Login-Daten korrekt abgegriffen.

Über den Autor

Mirco Lang

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Stichwortschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler.

Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds.

Wenn ich Dir helfen konnte und/oder Du hier mehr über Open Source, Linux, Bastelkram oder auch Windows-Basics lesen möchtest:
Spendier mir einen Kaffee via Paypal.

Kommentieren:

Ich akzeptiere

Danke für's Teilen!

Erzähle Deinen Freunden, dass Du diesen interessanten Artikel gefunden hast. Er hilft ihnen bestimmt auch weiter.