22.03.2012, 16:15

Frank Ziemann

Leicht knackbar

Passwort-Manager für Smartphones sind unsicher

Passwort-Manager für Smartphones sind angreifbar

Das Schutzniveau gängiger Anwendungen zur Verwaltung von Passwörtern auf Smartphones hält nicht, was die Hersteller versprechen. Das meint jedenfalls ein Anbieter entsprechender Knackprogramme nach einer Untersuchung einiger Apps.
Passwörter für Web-Dienste sollten gewissen Mindestanforderungen genügen, damit Unbefugte sie nicht einfach erraten können. Damit sich Anwender komplexe Passwörter nicht merken müssen, bieten etliche Hersteller Apps für die Passwortverwaltung an. Das Unternehmen ElcomSoft aus Moskau hat 17 solcher Apps für iOS und Blackberry untersucht. Die Ergebnisse seien enttäuschend, das gebotene Schutzniveau sei unzureichend, meint ElcomSoft.
Andrey Belenko und Dmitry Sklyarov haben die Analyse der Sicherheit solcher Anwendungen kürzlich auf der Sicherheitskonferenz Blackhat Europe in Amsterdam präsentiert. Sie meinen, ein Angreifer könne die gespeicherten Passwörter (zum Teil auch Kreditkartendaten) innerhalb eines Tages oder schneller erhalten, wenn das gewählte Master-Passwort 10 bis 14 Ziffern lang sei. Bei den sieben Apps gehe das mangels Verschlüsselung noch viel schneller.
Die Passwort-Apps setzen Verschlüsselungstechniken ein, die zunächst beeindruckend und sehr sicher erscheinen, So werden etwa SQLite-Datenbanken benutzt, die mit dem AES-Verfahren verschlüsselt werden. Doch wenn dafür stets derselbe, in der Software fest vorgegebene Schlüssel verwendet wird, ist es mit der Sicherheit nicht mehr weit her. Zum Teil wird auch die Länge des Master-Passworts auf eine vierstellige PIN reduziert. Andere Apps speichern das Master-Passwort (den Schlüssel zum "Tresor") unverschlüsselt im Gerät.
Einige Apps verzichten sogar ganz auf Verschlüsselung. Auf deren Einsatz sollten sicherheitsbewusste Anwender verzichten und die serienmäßigen Sicherheitsfunktionen der Smartphones verwenden. In den anderen Fällen sind die Daten zumindest vor solchen Dieben halbwegs sicher, die sich nicht mit Kryptografie auskennen oder Zeit und Mühe scheuen, weil es nicht lohnend erscheint. Mit genügend Aufwand kommt ein Angreifer in allen Fällen ans Ziel.  Die Liste der getesteten Apps und die Testergebnisse finden Sie auf der ElcomSoft Website.
Kommentare zu diesem Artikel (1)
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

1407283
Content Management by InterRed