Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsAutoSpill: Passwortmanager legen unter Android Zugangsdaten offen
Die Autofill-Funktion von Android ist für den Umgang mit Zugangsdaten ein bequemes Werkzeug. Eine kürzlich offengelegte und als AutoSpill bezeichnete Schwachstelle sorgt jedoch im Zusammenhang mit der WebView des Betriebssystems dafür, dass die Daten in die falschen Hände geraten können.
Zum Thema ob es unter iOS auch möglich sein könnte.
Unter iOS und bei Verwendung von Bitwarden kann ich mir das nicht vorstellen. Hab Bitwarden unter iOS noch nicht dazu überreden können, irgendwas automatisch/ohne mein Zutun auszufüllen. Dh ich muss immer erst auf das Feld für die Zugangsdaten klicken, dann Bitwarden oder Schlüsselbund auswählen und per FaceID dazu auffordern Daten einzutragen.
Aber auf Desktops ist das Thema ja auch nicht neu. Hab mir dort abgewöhnt, es automatisch füllen zu lassen.
Denkt euch einfach ein Passwort aus das alle Anforderungen an ein sicheres Passwort erfüllt zum Beispiel:
@bcD1234
Und packt irgendwo dazwischen den Namen der Webseite oder des Dienstes. Also beispielsweise:
@bcDcomputerbase1234
Und schwupp hat man ein für jeden Login einzigartiges Passwort, dass man sich ohne Probleme merken kann und mehr als ausreichend Zeichen besitzt um quasi unknackbar zu sein.
Und das alles ohne Passwortmanager oder Speichern von Passwörtern im Browser.
Also im Klartext: Wenn ich eine Malware App installiere und mich darin für Single Sign On per WebView einlogge sind meine Zugangsdaten potentiell unsicher.
Sollte gefixt werden aber setzt natürlich auch voraus dass man sich entsprechende Schadsoftware einfängt.
Ist zudem unwahrscheinlich weil bei Social Logins idR kein Passwort eingetragen werden muss, da die Sessions eine lange Gültigkeit haben.
Auf gar keinen Fall. Sobald bei einer Website dein Passwort abhanden kommt (am besten noch mit EMail) kannst du ALLE Passwörter ändern, da man ja jeweils nur den Website Namen tauschen muss. Das ist sowas von dermaßen grob fahrlässig, und das dann noch jemanden zu empfehlen. Aua.
sobald es entsperrt ist, hast du, wenn nur eine Schwachstelle über die jemand zugriff auf dein System hat verloren. Und auch, wenn die UI dir keinen trivialen Angriffsvektor bietet, bedeutet das nicht, dass die genutzten Programmbibliotheken keine Schwachstellen haben.
Beispiele: https://www.cvedetails.com/cve/CVE-2023-27706/ https://www.cvedetails.com/cve/CVE-2023-38840/
Auf gar keinen Fall. Sobald bei einer Website dein Passwort abhanden kommt (am besten noch mit EMail) kannst du ALLE Passwörter ändern, da man ja jeweils nur den Website Namen tauschen muss. Das ist sowas von dermaßen grob fahrlässig, und das dann noch jemanden zu empfehlen. Aua.
Und schwupp hat man ein für jeden Login einzigartiges Passwort, dass man sich ohne Probleme merken kann und mehr als ausreichend Zeichen besitzt um quasi unknackbar zu sein.
Denkt euch einfach ein Passwort aus das alle Anforderungen an ein sicheres Passwort erfüllt zum Beispiel:
@bcD1234
Und packt irgendwo dazwischen den Namen der Webseite oder des Dienstes. Also beispielsweise:
@bcDcomputerbase1234
Und schwupp hat man ein für jeden Login einzigartiges Passwort, dass man sich ohne Probleme merken kann und mehr als ausreichend Zeichen besitzt um quasi unknackbar zu sein.
Und das alles ohne Passwortmanager oder Speichern von Passwörtern im Browser.
Ich verwende gerne Sätze. Da kann man auch gut den jeweiligen Service einbauen. Beispielsweise: Machfacebookauf339%. Alles dabei - Länge, kleine und große Buchstaben, Zahlen und Sonderzeichen.
Der Hinweis war eher: lass das besser bleiben. Deine Passwörter sind mit dieser „Systematik“ alle ähnlich. Somit einfach herauszufinden, wenn irgendwo eins herauskommt.
So schlecht ist das System nicht. Du darfst nur nicht die Webseite im Klartext nennen, sondern nimmst immer z.B.den 2., letzten und 1. Buchstaben und dann noch die Anzahl der Buchstaben und bekommst dann: @bcDoec121234. Google wäre: @bcDoeg61234. Und das ist dann schon Recht sicher und universell anwendbar.
Du darfst nur nicht die Webseite im Klartext nennen, sondern nimmst immer z.B.den 2., letzten und 1. Buchstaben und dann noch die Anzahl der Buchstaben
Ich glaube das ist in diesem Fall gar nicht so unwahrscheinlich. Weder das Anbieten einer Authentifizierung noch das Auslesen von App-internen Eingabefeldern verstößt gegen die Richtlinien des Play Stores. Insofern dürfte es keine große Herausforderung sein, eine solche "Schadsoftware" über diese "vertrauenswürdige Quelle" zu verbreiten und die böswilligen Ambitionen dahinter vor Googles Sicherheitskontrollen zu verbergen. Auch bestehende Apps ließen sich schnell und einfach mit einer Funktion ausstatten, die die Eingabefelder ausliest, um die Zugangsdaten zu verarbeiten.
Die Ausnutzung dieser Schwachstelle hängt also einzig von den Ambitionen der App-Entwickler ab. Und die könnten mit ein paar eingesammelten Zugangsdaten durchaus nebenbei etwas Kohle machen. Motivation ist also vorhanden.
