Android-Attacke stiehlt Daten aus Passwortmanagern

Sicherheitsforscher*innen haben es geschafft, mit einer neu entwickelten Attacke Daten aus Passwortmanagern abzugreifen. Die Attacke nutzt dabei das Autofill-Feature auf Android, weshalb sie den passenden Namen „AutoSpill“ dafür wählten. 

Wie Bleeping Computer berichtet zeigte sich bei einer Präsentation auf der Konferenz Black Hat Europe, dass fast alle Passwortmanager auf Googles mobilem Betriebssystem anfällig gegen AutoSpill sind. 

➤ Mehr lesen: Mit diesen Passwortmanagern behältst du deine Konten im Griff

WebView sorgt für Probleme

Dabei machen sich die Forscher*innen zunutze, dass häufig WebView für den Login genutzt wird. Dabei wird statt einer Weiterleitung im Browser eine Webseite mit Anmeldemaske innerhalb der App geöffnet. Der Passwortmanager füllt dann automatisch die Login-Daten aus. 

Genau hier kann AutoSpill Daten abgreifen. Man nehme an, eine schadhafte App lädt eine WebView-Anmeldemaske, die anbietet, sich mit Google-, Microsoft-, Facebook- oder Apple-Konto anzumelden. Dann könnte die Host-App mit AutoSpill aufnehmen, was die Nutzer*innen in die Anmeldemaske eingeben. Anfällig waren die Passwortmanager Keeper, Keepass2Android, Enpass, LastPass und 1Password.

Da sowohl Google Smart Lock als auch Dashlane eine andere Methode zum Ausfüllen der Login-Masken wählten, wurden keine Daten geleakt. Allerdings nur, wenn kein JavaScript ausgeführt wird. 

➤ Mehr lesen: Vorsicht vor diesem Fake-Passwortmanager

Lösung in Arbeit

Die Forscher*innen haben auch eine Lösung für das Problem entwickelt. Das bleibt allerdings geheim. Gegenüber Bleeping Computers haben 1Password und LastPass erklärt, die Sicherheitslücke mit einem Update zu schließen. Keeper Security verwies darauf, dass es ein Google-spezifisches Problem sei und Nutzer*innen selbstständig darauf achten sollten, keine Schadsoftware zu installieren. Es gebe eine Warnung vor dem Eingeben sensibler Informationen auf einer verdächtigen Webseite.