Datenschutz: Wie gut ist ein Passwort-Manager vor Pishing geschützt? Bei Android: eher weniger!

Du nutzt einen Passwort-Manager? Sehr löblich. Aber selbst diese Sicherheitsvorkehrung zum Schutz deiner Daten könnte bei Android nicht ausreichen. Denn es gibt Pishing-Apps, die den Schutz ins Gegenteil umkehren. Anstatt deine vertraulichen Informationen zu schützen, greifen diese Apps sie erst wieder ab. Mithilfe von Passwort-Managern!

Google hat gerade erst wieder ein paar Sicherheits-Updates für Android veröffentlicht – und schon geht die nächste Schwachstelle an den Start. Diese greift sich Passwort-Manager als Pishing-Opfer. Eigentlich ist ein Passwort-Manager ein wirklich praktisches Tool für deinen Kopf und für den Datenschutz. Du musst dir damit nicht eine Vielzahl komplizierter Passwörter merken, sondern lässt dein Smartphone sie für dich merken. Das hat auch den Vorteil, dass man vielleicht wirklich starke Passwörter wählt und nicht immer den Namen des Hundes oder den Geburtstag des Kindes …

Passwort-Manager machen deine Passwörter unsicherer

Wenn du mit einem Passwort-Manager arbeitest, musst du dir dank Autofill nur ein einziges Passwort merken, das sogenannte Master Passwort. Dieses öffnet dann den Zugang zu allen gespeicherten Passwörtern im Passwort-Manager. So weit, so praktisch. Aber nicht gut. Denn Wissenschaftlicher haben jetzt bekannt gegeben, dass durch Passwort-Manager deine Passwörter generell geschwächt werden. Sie werden damit unsicherer.

Fake-Apps greift Passwörter via Autofill-Funktion ab

Android-Apps müssen beim Login mit dem Web-Backend kommunizieren, um das korrekte Passwort zur Verfügung stellen zu können – beispielsweise mit facebook.com. Der Google Play Store schaut zwar, dass es nicht zwei Android-Apps mit gleichem Namen gibt. Aber geprüft wird das nicht. So können Pishing Apps den Passwort-Manager austricksen und dir Fake-Apps unterjubeln, deren Paketnamen sich ähnlich anhört. Wenn du das nicht erkennst – was aufgrund der guten Machart wahrscheinlich ist – dann lässt sich der Hacker über die Autofill-Funktion des Passwort-Managers deine Zugangsdaten etc. schicken.

Ebenso riskant ist die Instant-Apps-Funktion von Android, mit der du Apps ohne diese downzuloaden, ausprobieren kannst. Sie könnte beispielsweise dazu genutzt werden, dich im Internet ebenfalls zu meist sehr gut gemachten Fake-Apps umzuleiten, dort deine Daten zu kassieren und sie wiederum per Autofill an den Hacker zu übermitteln.

Smart Lock von Google vor dieser Art von Pishing gefeit

Die gute Nachricht zum Schluss: Diese Sicherheitslücken gelten nicht für alle Passwort-Manager, so die Wissenschaftler. Smart Lock von Google kann nicht auf diese Art und Weise ausgetrickst werden, weil Hacker keine Fake-Paketnamen von Apps einschleusen können. Der Paketname einer App muss nämlich bereits in der Entwicklung gemeinsam mit der Ziel-URL angegeben werden.

Quelle: futurezone.de


Erstellt am:17. Oktober 2018


Sicherheit im Internet Hilfe

Sicherheit mit VPN - Hilfe zur Auswahl!


Weitere interessante Artikel

Besserer Schutz für Whistleblower in der EU

Der Facebook Datenskandal, Dieselgate oder die Panama Papers sagen dir wahrscheinlich etwas, oder? Viele dieser Skandale in letzter Zeit konnten ...
ASUS Router Anleitung mit VPN

Anleitung: ASUS Router mit VPN in Betrieb nehmen “Schritt für Schritt” mit VyprVPN

Es ist ganz einfach einen ASUS Router direkt in Betrieb zu nehmen, ganz unabhängig davon welchen Internetrouter Du derzeit verwendest ...
CIA is watching you

Privatsphäre: Kann dich die CIA hacken? Und ob!

Spätestens seit Edward Snowden vor einigen Jahren enthüllt hat, wie die NSA uns bespitzelt, ist klar: Privatsphäre ist ein seltenes ...

Schreibe einen Kommentar

×
Fehler bei
der Übermittlung.
×
Erfolgreich.

Coupon wurde erfolgreich gesendet.

Nimm Dein Telefon zu Hand.