Sicherheitslücke erlaubt Diebstahl von Daten bei Passwortmanagern

Sicherheitsforscher warnen vor einer neuen Gefahr für Android-Nutzer, die Passwortmanager verwenden: Experten haben entdeckt, dass sich Anmeldedaten bei der automatischen Eingabe-Funktion von Passwörtern ganz einfach stehlen lassen.

Black Hat Europe

Damit können unbefugte Dritte an die sensiblen Anmeldedaten kommen. Das meldet das Online-Magazin Bleeping Computer und erläutert die Schwachstelle, die jetzt im Rahmen der Sicherheitskonferenz Black Hat Europe gezeigt wurde.

Die Angriffskette wurde von den Forschern vom International Institute of Information Technology (IIIT) Hyderabad auf den Namen AutoSpill getauft. Dabei zeigten sie, dass die meisten Passwortmanager für Android für AutoSpill anfällig sind, selbst wenn keine JavaScript-Injektion erfolgt.

Wie AutoSpill funktioniert

Android-Apps verwenden häufig WebView-Steuerelemente, um Webinhalte, wie z. B. Anmeldeseiten, innerhalb der App darzustellen, anstatt die Nutzer zum Webbrowser umzuleiten.

Passwortmanager auf Android nutzen das WebView-Framework, um automatisch die Anmeldedaten eines Nutzerkontos einzugeben, wenn eine App die Anmeldeseite für Dienste wie Apple, Facebook, Microsoft oder Google lädt. Die Forscher erklärten, dass es möglich ist, Schwachstellen in diesem Prozess auszunutzen, um die automatisch ausgefüllten Anmeldedaten in der aufrufenden App zu erfassen.

Wenn JavaScript-Injektionen aktiviert sind, sind den Forschern zufolge alle Passwortmanager auf Android für den AutoSpill-Angriff anfällig - einige sind es allerdings auch, wenn das nicht der Fall ist. Das AutoSpill-Problem rührt insbesondere daher, dass Android die Verantwortung für den sicheren Umgang mit den automatisch ausgefüllten Daten nicht durchsetzt oder klar definiert, was dazu führen kann, dass die Daten von der Host-App abgefangen werden. Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing

Angriff hinterlässt keine Spuren

In einem Angriffsszenario könnte eine bösartige Anwendung, die Anmeldedaten des Benutzers erfassen, ohne einen Hinweis auf die Kompromittierung zu hinterlassen.

Auswirkungen und Behebung

Die Forscher testeten AutoSpill mit einer Auswahl von Passwortmanagern auf Android 10, 11 und 12 und fanden heraus, dass 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 und KeePass2Android 1.09c-r0 aufgrund der Verwendung des Autofill-Frameworks von Android anfällig für Angriffe sind.

Google Smart Lock 13.30.8.26 und DashLane 6.2221.3 verfolgten einen anderen technischen Ansatz für den Autofill-Prozess. Sie gaben keine sensiblen Daten an die Host-App weiter, es sei denn, es wurde JavaScript-Injection verwendet. Die Forscher teilten ihre Ergebnisse übrigens bereits im Mai 2022 den betroffenen Softwareherstellern und dem Android-Sicherheitsteam mit und unterbreiteten Vorschläge zur Behebung des Problems.

Es wurden zwar keine Details über die Behebung mitgeteilt, es soll nun aber bessere Schutzmaßnahmen gegen die Einschleusung manipulierter Anmeldeseiten geben.


Siehe auch: