Avira Pass­word Manager Gefähr­liche Sicher­heits­lücke bei Avira

0
Avira Pass­word Manager - Gefähr­liche Sicher­heits­lücke bei Avira

Reinfall. Aviras Pass­wort-Manager ließ sich von Phishing-Angriffen gefälschter Websites über­listen – so auch von diesen Facebook- und GMX-Fakes. Die erbeuteten Pass­wörter sind im Screen­shot an den roten Buch­staben zu erkennen. © Screenshot Stiftung Warentest

Aviras Pass­wort-Manager fiel auf Phishing-Versuche herein und gefähr­dete so die Sicherheit seiner Nutzer. Auf Hinweis der Stiftung Warentest hat Avira das Problem gelöst.

Avira bringt Pass­wörter, Daten und Geld in Gefahr

Eigentlich sind Passwort-Manager eine tolle Sache: Sie basteln höchst komplizierte Pass­wörter, nehmen uns die Last ab, lauter Kenn­wörter im Kopf zu behalten – und fallen nicht so leicht auf Phishing rein wie Menschen. Eigentlich. Der Avira Pass­word-Manager offen­barte jedoch Anfang April eine brisante Sicher­heits­lücke.

Wir beob­achteten, wie er auf gefälschten Websites auto­matisch Pass­wörter eingab.

Bei den Seiten handelte es sich um Imitate von Portalen wie GMX, Facebook oder Paypal, die ein IT-Sicher­heits­forscher erstellt hatte. Obwohl die Fälschungen relativ simpel gestaltet waren, ließ sich das Avira-Programm davon austricksen. Eine solche Panne bringt unter anderem E-Mails, private Dokumente und in manchen Fällen auch das Geld von Nutze­rinnen und Nutzern in Gefahr.

Lücke geschlossen, Programme aktualisiert

Nur Browser-Plug-ins betroffen. Die gute Nach­richt: Avira hat schnell reagiert und die Sicher­heits­lücke nach unserem Hinweis in allen betroffenen Versionen (Browser-Plug-ins für Chrome, Edge, Firefox, Opera und Safari) geschlossen. Laut Anbieter bestand das Problem bereits seit Ende 2019 – es betraf alle Nutze­rinnen und Nutzer, die die stan­dard­mäßig voraktivierte Auto-fill-Funk­tion der Plug-ins verwendeten. Bei der Desktop-Anwendung und den mobilen Apps trat die Sicher­heits­lücke nicht auf.

In der Regel kein Hand­lungs­bedarf. Nutze­rinnen und Nutzer brauchen nicht aktiv zu werden – die Plug-ins aktualisieren sich auto­matisch, solange die Update-Funk­tion nicht vom Anwender deaktiviert wurde. Ob der Fehler tatsäch­lich von Angreifern miss­braucht wurde, um Pass­wörter zu erbeuten, ist unklar. Avira teilte uns mit: „Es wurden keine Hinweise auf eine mögliche Ausnutzung der Sicher­heits­lücke gefunden.“ Ganz ausschließen lässt sich das aber nicht.

Auto-fill deaktivieren. Wenn Sie die Auto-fill-Funk­tion abschalten, trägt der Pass­wort-Manager Ihre Log-in-Daten nicht mehr auto­matisch ein, sondern erst auf Ihren Befehl. Das reduziert zwar den Komfort, gibt Ihnen aber mehr Kontrolle, um Phishing-Versuche zu vereiteln.
So geht‘s: Im Browser auf das Avira-Plug-in klicken > Zahnrad-Symbol ankli­cken > Regler für „Auto-fill Anmeldeformular“ von rechts nach links ziehen.

Fälschung selbst für Menschen leicht zu erkennen

Grund für den Fehler war ein nach­lässiges Vorgehen beim Phishing-Schutz. Phishing-Atta­cken laufen häufig so ab: Kriminelle erstellen gefälschte Websites und locken ihre Opfer mit Links in E-Mails oder Kurz­nach­richten dorthin. Da die Seiten oft täuschend echt aussehen, geben viele Nutze­rinnen und Nutzer ihre Anmelde­daten dort ein, um sich (vermeintlich) in ihren E-Mail-, Banking- oder Social-Media-Account einzuloggen. Und schwupps haben die Angreifer in vielen Fällen alles, was sie brauchen, um fremde Konten zu kapern und beispiels­weise Daten abzugreifen oder Zahlungen auszulösen.

Pass­wort-Manager sind eigentlich für robusten Schutz gegen Phishing-Versuche bekannt, da sie üblicher­weise mehrere Para­meter über­prüfen, ehe sie Log-in-Daten eingeben – darunter etwa die URL, also die Adresse der jeweiligen Seite. Lautet diese beispiels­weise fakebook.com statt facebook.com, rückt das Programm nichts raus.

Doch das Browser-Plug-in des Avira Pass­word Managers machte einen Fehler: Obwohl die Adressen der vom Sicher­heits­forscher erstellten Phishing-Seiten massiv von den URLs der Original-Portale abwichen, fügte das Programm die Pass­wörter ein – Angreifer hätten sie abfangen können.

Wie Sie sich und Ihre Daten schützen

Beschäftigen Sie sich mit dem Thema Daten­sicherheit. Wir haben zehn Tipps für sicheres Surfen für Sie. Unser Special Datenklau verhindern gibt weitere Hinweise, wie Sie sich vor Phishing-Angriffen schützen können. Um noch sicherer zu sein, stärken Sie die eigenen Abwehr­kräfte am besten mit der Mehr-Faktor-Authentifizierung.

Sind Pass­wort-Manager über­haupt sinn­voll?

Wenn ein Programm, das Pass­wörter schützen soll, Pass­wörter freigiebig an Phishing-Seiten verteilt, stellt sich natürlich die Frage, ob es über­haupt sinn­voll ist, ein solches Programm zu verwenden.

Auch wenn Sicher­heits­lücken wie die hier beschriebene schwerwiegende Folgen haben können, über­wiegen unseres Erachtens die Vorteile: Zwar können auch Pass­wort-Manager keine hundert­prozentige Sicherheit garan­tieren – doch sie bieten im Normalfall wesentlich mehr Sicherheit als von Menschen geschaffene Pass­wörter.

Menschen können sich eine Vielzahl verschiedener Kenn­wörter nur schlecht merken und tendieren daher zu relativ einfachen oder mehr­fach verwendeten Pass­wörtern. Ein Pass­wort-Manager hingegen ist in der Lage, Tausende hoch­komplexe, lange Kenn­wörter zu speichern. Benjamin Barkmeyer, IT-Sicher­heits­experte bei der Stiftung Warentest, zitiert frei nach Troy Hunt: „Ein Pass­wort-Manager muss nicht perfekt sein – er lohnt sich schon, wenn er besser ist als sein Nutzer.“

Tipp: Welche Software Sie mit starken Pass­wörtern schützt, zeigt unser Passwort-Manager-Test.

0

Mehr zum Thema

0 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.