Samsung und die Sicherheit: Passwörter im Klartext
Samsung hat offenbar ein gröberes Problem mit Sicherheitslücken. Erst gestern haben wir berichtet, dass man ohne Lösung der Lockscreensperre Zugriff auf den Homescreen bekommen kann, schon kommt die nächste Lücke, die noch weitreichendere Folgen hat. Samsung speichert bei der Wortvervollständigung der eigenen Tastatur auch die Passwörter im Klartext.
Samsung Smartphone kommen momentan nicht aus der Kritik in Sachen Sicherheit. Wer auf sichere Passwörter achtet, sollte bei aktuellen Samsung Geräten vorsichtig sein. Die eigene Samsungtastatur speichert offenbar die Passwörter, die man in Passwortfelder eingibt und zeigt diese danach bei ähnlichen Wörtern in normalen Textfeldern im Klartext an. Die Merkfunktion des Wörterbuches ist eigentlich dazu da, um häufig verwendete Wörter zu speichern und schneller voraus zu sagen, aber Passwörter gehören eigentlich nicht zu dem gewünschten Inhalt solcher Wörterbücher.
Wenn man nun in einem normalen Textfeld den Anfangsbuchstaben eingibt, tauchen auch alle Passwörter mit diesem Anfangsbuchstaben in den Wortvorschlägen auf. Es ist egal, wo dieses Kennwort verwendet wird, selbst vom Lockscreen und Apps sowie den Zugangsdaten im Browser wird davon Gebrauch gemacht. Lediglich bei sicheren Passwörtern mit Sonderzeichen kapituliert der Speicherwahn des Wörterbuches. Allerdings wird alles bis zum Sonderzeichen trotzdem mitnotiert.
Bei heise online hat man den Fehler versucht nachzuvollziehen und bereits nach 6 Eingaben des Passwortes „ichwillrein“ ist bei der Eingabe von „ich“ dieses auch im Klartext als Vorschlag erschienen.
Sollten also Andere Zugriff auf eure Geräte haben gibt es nur die Möglichkeit eine alternative Tastatur zu verwenden. eure Passwörter sollten sowieso sicher sein und immer Sonderzeichen enthalten, somit würden diese auch nie komplett auftauchen können.
Kollegen bei Techstage.de haben diese Sicherheitslücke bei einem Samsung Galaxy Note 2, einem Samsung Galaxy S3 mit Android 4.1.2 und einem Samsung Galaxy S mit Android 2.3.6 nachvollziehen können. Ich selbst habe auf einem Samsung Galaxy Ace 2 mit Android 4.1.2 auch diese Sicherheitslücke nachvollziehen können.
Am besten ihr verwendet eine alternative Tastatur wie SwiftKey oder die Standard Android Tastatur denn bei denen ist diese Lücke nicht vorhanden. Wir sind gespannt, ob noch mehr Lücken auftauchen und ob dazu Stellung nimmt beziehungsweise versucht diese Fehler zu beheben. Natürlich werden wir euch weiterhin darüber berichten.
Pingback: Michaels Tagebuch (Samsung und die Sicherheit: Passwörter im Klartext)