Start Infotainment Technik
Diebstahl

Android-Alarm: Passwörter in Gefahr durch ‚AutoSpill‘

(FOTO: iStock/tsingha25)
(FOTO: iStock/tsingha25)

Sicherheitsforscher haben eine Methode entwickelt, um Daten aus Passwortmanagern zu extrahieren. Das neue Schreckgespenst trägt den Namen „AutoSpill“ und nutzt das Autofill-Feature auf Android-Systemen zur Datengewinnung.

Die Forscher präsentierten ihre alarmierenden Ergebnisse auf der renommierten Konferenz „Black Hat Europe“. Fast alle Passwortmanager, die auf Googles mobilem Betriebssystem basieren, sind gegen AutoSpill nicht gewappnet.

Die Forscher demonstrierten, wie AutoSpill die Login-Prozesse ausnutzt, die häufig über WebView abgewickelt werden. Anstatt den Nutzer zur Anmeldung auf eine externe Webseite zu leiten, öffnet die App eine interne Webseite mit einer Anmeldemaske. Der Passwortmanager füllt dann automatisch die Login-Daten aus.

Genau hier setzt AutoSpill an. Angenommen, eine schadhaften App lädt eine WebView-Anmeldemaske, die Optionen zur Anmeldung mit Google-, Microsoft-, Facebook- oder Apple-Konto anbietet. In diesem Fall könnte die Host-App mit AutoSpill aufzeichnen, was die Nutzer in die Anmeldemaske eingeben.

WhatsApp: Wichtige Android-Funktion ist bald kostenpflichtig

Betroffene Unternehmen reagieren

Die Passwortmanager Keeper, Keepass2Android, Enpass, LastPass und 1Password sind für diese Art der Attacke anfällig. Die betroffenen Unternehmen reagieren unterschiedlich auf die neu entdeckte Sicherheitslücke. 1Password und LastPass kündigten an, die Sicherheitslücke mit einem Update zu schließen. Keeper Security hingegen verwies darauf, dass es sich um ein Google-spezifisches Problem handle und Nutzer selbstständig darauf achten sollten, keine Schadsoftware zu installieren. Sie warnten zudem vor dem Eingeben sensibler Informationen auf verdächtigen Webseiten.

Eine gute Nachricht gibt es für Nutzer von Google Smart Lock und Dashlane: Da diese Passwortmanager eine andere Methode zum Ausfüllen der Login-Masken verwenden, wurden keine Daten geleakt – vorausgesetzt, es wird kein JavaScript ausgeführt.

Die Forscher, die AutoSpill entdeckt haben, haben auch eine Lösung für das Problem entwickelt. Diese bleibt allerdings geheim.