Suchen

SSL-Autokorrektur für App-Entwickler und Passwort-Manager Fraunhofer SIT widmet sich der Sicherheit von Android

Redakteur: Stephan Augsten

Fehlende oder mangelhafte SSL-Verschlüsselung ist bei Android Apps keine Seltenheit. Das Fraunhofer-Institut für Sichere Informationstechnologie hat deshalb ein Eclipse-Plug-in entwickelt, das entsprechende Sicherheitslücken erkennt und schließt. Darüber hinaus haben die Forscher den Passwort-Manager MobileSitter für Android adaptiert.

Firmen zum Thema

Der Passwort-Manager MobileSitter ist nun auch über Google Play für Android erhältlich.
Der Passwort-Manager MobileSitter ist nun auch über Google Play für Android erhältlich.
(Bild: Fraunhofer SIT)

Android-Geräte und deren Schwachstellen rücken verstärkt in den Fokus des Fraunhofer-Instituts für Sichere Informationstechnologie (Fraunhofer SIT). So hatten die Sicherheitsforscher erst im Dezember 2013 vor unzulänglichen SSL-Implementierungen in Android Apps gewarnt.

Mit einem Plug-in für die Entwicklungsumgebung Eclipse hilft das Fraunhofer SIT den App-Entwicklern dabei, durch Programmierfehler bedingte SSL-Lücken aufzuspüren und zu beheben. Laut dem Fraunhofer-Insitut handelt es sich vereinfacht gesagt um eine „Autokorrektur für Software-Entwickler“.

Die Open-Source-Software steht auf der Webseite des Fraunhofer SIT kostenlos zum Download bereit. Entwickelt wurde das Plug-in im European Center for Security and Privacy by Design (EC SPRIDE) in Darmstadt, das vom Bundesministerium für Bildung und Forschung gefördert wird.

Passwort-Manager für Android-Geräte

Eine weitere Entwicklung, die das Fraunhofer SIT aktuell in der CeBIT-Halle 9 am Stand E40 vorstellt, ist der Passwort-Manager MobileSitter. Das iOS-Pendant namens iMobileSitter ist schon seit gut einem Jahr bei iTunes erhältlich, nun hat es die App auch in den Android-App-Store Google Play geschafft.

Nutzer des iMobileSitter können ihre Zugangsdaten einfach auf Android-Geräte portieren. Analog zur iOS-Variante nutzt auch die MobileSitter-Version für Android im Rahmen der Verschlüsselung echte Zufallszahlen. Um die zu erzeugen, muss der Nutzer sein Smartphone schütteln oder seinen Finger auf dem Touch-Display bewegen.

Im Gegensatz zu anderen Passwortverwaltungen bietet der MobileSitter eine zusätzliche Sicherheitsfunktion, die Wörterbuchangriffe ins Leere laufen lassen soll. Bei der Vergabe des übergeordneten Master-Passworts zeigt die App ein zufällig ausgewähltes Symbol an, das somit nur dem legitimen Nutzer bekannt sein sollte.

Bei der Eingabe eines fehlerhaften Master-Passworts liefert die App frei erfundene Kennwörter und Entsperr-Codes zurück. Während ein Angreifer nicht erkennt, dass sein Zugriffsversuch geblockt wurde, kann der Anwender mögliche Tippfehler anhand eines falschen Bildes erkennen. Der MobileSitter ist bei Google Play für 5,49 Euro erhältlich und läuft auf allen Smartphones ab Android 4.0.

(ID:42571863)