Password-lagre til Android er usikre

Artiklen blev oprindeligt publiceret den 4/4/2013

Skadelige programmer kan opsnappe passwords, der gemmes i password managers til Android. Forskere har udviklet en alternativ løsning.

En password manager er et program, der lagrer en lang række brugernavne og adgangskoder. Brugeren skal indtaste en kode for at få adgang til alle koderne. Der findes password managers til pc og smartphones.

En gruppe forskere fra Leibniz-universitetet i Hannover har opdaget et sikkerhedsproblem ved stort set alle password managers til Android-smartphones. Sårbarheden ligger i, at brugeren kan klikke på et password og derved placere det i udklipsholderen. Herfra kan det indsættes i den app eller webside, der skal bruge det.

Men alle apps har som udgangspunkt adgang til at se indholdet af udklipsholderen. Så hvis man har fået et skadeligt program ind på smartphonen, kan det opsnappe indhold fra udklipsholderen og dermed få fat i de passwords, brugeren anvender.

Forskerne har udviklet en alternativ password manager, der ikke anvender udklipsholderen. Deres prototype er i stedet implementeret som et virtuelt tastatur.

Links

• Hey, You, Get Off of My Clipboard - On How Usability Trumps Security in Android Password Managers, artikel af forskerne fra Leibniz-universitetet (PDF-format)
• API omission renders Android password managers insecure, artikel fra The H Security