Sicherheitslücke bei Passwortmanagern für Android entdeckt

Sicherheitsforscher haben eine neue Sicherheitslücke in Passwortmanagern für Android entdeckt. Die Lücke mit dem Namen „AutoSpill“ ermöglicht es Angreifern, unbemerkt Anmeldeinformationen von Nutzern auszuspähen.

Die Schwachstelle liegt in der Art und Weise, wie Android die automatische Eingabe von Anmeldedaten in Apps handhabt. Wenn ein Benutzer eine App öffnet, die eine Anmeldeseite enthält, lädt die App diese Seite in ein WebView-Steuerelement. Passwort-Manager verwenden das WebView-Framework, um die Anmeldedaten des Benutzers automatisch in die Anmeldeseite einzutragen.

Forscher des International Institute of Information Technology (IIIT) in Hyderabad haben herausgefunden, dass es möglich ist, Schwachstellen in diesem Prozess auszunutzen, um die automatisch ausgefüllten Anmeldedaten in der aufrufenden Anwendung zu erfassen.

Dies kann durch JavaScript-Injektionen geschehen, aber auch ohne JavaScript ist es möglich, die Schwachstelle auszunutzen. In einem Angriffsszenario könnte eine bösartige Anwendung, die Anmeldedaten des Benutzers sammeln möchte, eine manipulierte Anmeldeseite erstellen, die die Schwachstelle ausnutzt.

Davon betroffen waren u.a. Passwortmanager auf Android 10, 11 und 12 – dabei 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 und KeePass2Android 1.09c-r0.

Die Forscher haben ihre Ergebnisse bereits im Mai 2022 den betroffenen Softwareherstellern und dem Android-Sicherheitsteam mitgeteilt. Google hat daraufhin angekündigt, Maßnahmen zu ergreifen, um die Lücke zu schließen.

Bis die Lücke geschlossen ist, sollten Nutzerinnen und Nutzer von Passwortmanagern für Android Vorsicht walten lassen. Sie sollten nur Apps aus vertrauenswürdigen Quellen herunterladen und die Sicherheitseinstellungen ihrer Apps überprüfen.

Quelle(n):
Bleeping Computer

Links mit einem * sind Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Um über alle News auf dem Laufenden zu bleiben, folge mir auf Google News oder Facebook, abonniere meinen Telegram-, WhatsApp-, X/Twitter- oder Mastodon-Kanal oder RSS-Feed!

Der einzige Tech-Newsletter, den Du brauchst

Abonniere Schmidtis Blog, um tägliche Updates der neuesten Artikel direkt in Deinem Posteingang zu erhalten

Mit der Anmeldung erklärst Du dich mit unseren Nutzungsbedingungen einverstanden und erkennst die Datenschutzerklärung an. Die Nutzung der E-Mail-Adresse erfolgt ausschließlich für den Versand des Newsletters. Du kannst dich jederzeit wieder abmelden. Die Zustellung des E-Mail-Newsletters erfolgt täglich zwischen 20:00 und 21:00 Uhr deutscher Zeit. Zugestellt wird der Newsletter von MailChimp.

Wenn du ein Mensch bist, lasse das Feld leer: