Gerade erst verpasst Google seinem Betriebssystem Android wieder Sicherheitspatches, da machen auch schon wieder die nächsten Mängel auf sich aufmerksam. So scheinen nun nicht einmal mehr Passwort-Manager vor den böswilligen Phishing-Apps sicher zu sein. Genauer leiten euch die Angreifer auf eigens kreierte Fake-Apps um, die Betroffenen private (Zugangs-)Daten entlocken sollen.
Android-Passwort-Manager: Was können sie?
An und für sich können Passwort-Manager im Punkt Datenschutz eine hilfreiche Rolle spielen. So sollen sie euch dabei helfen, eine Vielzahl unterschiedlicher und teils komplizierter Passwörter im Kopf – oder eben im Smartphone – zu behalten. Dafür verwendet der Manager eine Autofill-Funktion, sodass ihr lediglich ein einziges Master-Passwort benötigt, um euch anzumelden.
Nicht mal euer Passwort-Manager ist vor diesen Android-Bugs sicher
Phishing-Apps gibt es für Android zur Genüge. In allen Farben und Formen versuchen sie euch Informationen aus der Tasche zu ziehen.
Im Gegensatz zu herkömmlichen Managern für den Desktop müssen die Android-Apps im Rahmen des Login-Prozesses mit dem entsprechenden Web-Backend kommunizieren. Sie müssen also den Paketnamen (beispielsweise com.facebook.katana) mit der gewünschen URL (etwa facebook.com) verknüpfen, um das dazugehörige Passwort anbieten zu können.
Was macht sie angreifbar?
Die Vorgehensweise der Passwort-Manager macht es dem User zwar einfach, jedoch schwächt sie auch die Sicherheit der Passwörter, wie Sicherheitsforscher der Universität von Genua und der südfranzösischen EURECOM berichten. Denn der Google Play Store achtet darauf, dass keine gleichbenannten Android-Pakete eingespielt werden. Aufgrund mangelnder Prüfung können Phishing-Apps dem Manager allerdings dennoch Falschinformationen unterschieben.
Die Folgen sind laut den Forschern beträchtlich: Der Nutzer kann mööglicherweise die ihm untergeschobene Fake-App (beispielsweise mit Namen com.facebook.evil) nicht als solche erkennen und wird dazu verleitet, dem Angreifer-Server per Passwort-Manager-Autofill sein Passwort zu schicken.
Auch Instant-Apps durchlässig
Ein weiteres Szenario der Forscher betrifft die Instant-Apps-Funktion von Android. Mit ihnen kann ein Nutzer Android-Programme zum Besuch einer Website ohne Installation ausprobieren. Durch sie können Nutzer wiederum auf eine Website gelockt werden, auf der eine App gestartet wird, die täuschend echt aussieht, es aber nicht ist und die eingegebene Passwörter per Autofill an den Angreifer schickt.
Einzig Googles Passwort-Manager Smart Lock sei nicht von den Phishing-Versuchen betroffen, heißt es weiter. Das liegt daran, dass Entwickler beim Einrichten ihrer App sowohl den Paketnamen als auch die Ziel-URL eingeben müssen.
Mehr Android
Um euer Android noch sicherer zu machen, haben wir einiges für euch zusammengetragen: Schaltet zum Beispiel diese acht Android-Einstelllungen lieber sofort aus, wenn ihr euch schützen wollt. Außerdem kann es helfen, die Android-Verschlüsselung zu aktivieren. Alles Weitere gibt es auch auf unserer Android-Themenseite.