SSL-Autokorrektur für App-Entwickler und Passwort-Manager

Fraunhofer SIT widmet sich der Sicherheit von Android

| Redakteur: Stephan Augsten

Der Passwort-Manager MobileSitter ist nun auch über Google Play für Android erhältlich.
Der Passwort-Manager MobileSitter ist nun auch über Google Play für Android erhältlich. (Bild: Fraunhofer SIT)

Fehlende oder mangelhafte SSL-Verschlüsselung ist bei Android Apps keine Seltenheit. Das Fraunhofer-Institut für Sichere Informationstechnologie hat deshalb ein Eclipse-Plug-in entwickelt, das entsprechende Sicherheitslücken erkennt und schließt. Darüber hinaus haben die Forscher den Passwort-Manager MobileSitter für Android adaptiert.

Android-Geräte und deren Schwachstellen rücken verstärkt in den Fokus des Fraunhofer-Instituts für Sichere Informationstechnologie (Fraunhofer SIT). So hatten die Sicherheitsforscher erst im Dezember 2013 vor unzulänglichen SSL-Implementierungen in Android Apps gewarnt.

Mit einem Plug-in für die Entwicklungsumgebung Eclipse hilft das Fraunhofer SIT den App-Entwicklern dabei, durch Programmierfehler bedingte SSL-Lücken aufzuspüren und zu beheben. Laut dem Fraunhofer-Insitut handelt es sich vereinfacht gesagt um eine „Autokorrektur für Software-Entwickler“.

Die Open-Source-Software steht auf der Webseite des Fraunhofer SIT kostenlos zum Download bereit. Entwickelt wurde das Plug-in im European Center for Security and Privacy by Design (EC SPRIDE) in Darmstadt, das vom Bundesministerium für Bildung und Forschung gefördert wird.

Passwort-Manager für Android-Geräte

Eine weitere Entwicklung, die das Fraunhofer SIT aktuell in der CeBIT-Halle 9 am Stand E40 vorstellt, ist der Passwort-Manager MobileSitter. Das iOS-Pendant namens iMobileSitter ist schon seit gut einem Jahr bei iTunes erhältlich, nun hat es die App auch in den Android-App-Store Google Play geschafft.

Nutzer des iMobileSitter können ihre Zugangsdaten einfach auf Android-Geräte portieren. Analog zur iOS-Variante nutzt auch die MobileSitter-Version für Android im Rahmen der Verschlüsselung echte Zufallszahlen. Um die zu erzeugen, muss der Nutzer sein Smartphone schütteln oder seinen Finger auf dem Touch-Display bewegen.

Im Gegensatz zu anderen Passwortverwaltungen bietet der MobileSitter eine zusätzliche Sicherheitsfunktion, die Wörterbuchangriffe ins Leere laufen lassen soll. Bei der Vergabe des übergeordneten Master-Passworts zeigt die App ein zufällig ausgewähltes Symbol an, das somit nur dem legitimen Nutzer bekannt sein sollte.

Bei der Eingabe eines fehlerhaften Master-Passworts liefert die App frei erfundene Kennwörter und Entsperr-Codes zurück. Während ein Angreifer nicht erkennt, dass sein Zugriffsversuch geblockt wurde, kann der Anwender mögliche Tippfehler anhand eines falschen Bildes erkennen. Der MobileSitter ist bei Google Play für 5,49 Euro erhältlich und läuft auf allen Smartphones ab Android 4.0.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42571863 / Mobile Security)