AndroidSicherheit

Warnung: App demonstriert Sicherheitslücke bei Passwortmanagern unter Android

Just haben wir Euch gezeigt, wie Ihr unter Android den Passwortmanager Keepass2Android nutzt, jetzt wollen wir die angesprochene Sicherheitslücke vieler Passwortmanager aufzeigen. Und zwar nicht rein theoretisch, sondern zum Nachmachen mit der Open Source App ClipCaster, zu bekommen bei F-Droid. Das Problem: Passwortmanager speichern Login-Daten gerne in der Zwischenablage und von dort können Sie von Malware einfach ausgelesen werden.

ClipCaster überwacht also das Clipboard und speichert Logindaten als Klartext. Die App ist aber keine Malware sondern lediglich ein Proof of Concept zur Verdeutlichung der Lücke und zeigt die gefundenen Daten entsprechend nur offline auf Eurem Gerät - ClipCaster hat auch nicht die Berechtigung, um diese Daten zu verschicken. Installiert einfach die App, aktiviert das Monitoring über den einzigen verfügbaren Button, loggt Euch mittels Passwortmanager und Zwischenablage irgendwo ein und schaut dann in ClipCaster über das Uhr-Symbol, ob dort Daten zu finden sind. Neben den angegebenen "kompatiblen" Safes funktioniert das Konzept auch mit dem von uns empfohlenen Keepass2Android - das aber wie beschrieben eine Alternative ohne Zwischenablage bietet.

Im Zweifelsfall funktioniert der Exploit auch mit weiteren Passwortsafes - die Lücke betrifft vor allem die Zwischenablage!
Im Zweifelsfall funktioniert der Exploit auch mit weiteren Passwortsafes - die Lücke betrifft vor allem die Zwischenablage!
clipcaster
Bingo - ClipCaster hat meine Login-Daten korrekt abgegriffen.

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Checkmk-Handbuchschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler. Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds. Wenn Ihr hier mehr über Open Source, Linux und Bastelkram lesen und Tutonaut unterstützen möchtet: Über Kaffeesponsoring via Paypal.freue ich mich immer. Schon mal im Voraus: Danke! Nicht verpassen: cli.help und VoltAmpereWatt.de. Neu: Mastodon

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"