Die meisten Passwort Manager auf dem Markt verlangen nur die Eingabe des Master-Passworts von Benutzern, um Zugriff auf ihren Passwort-Tresor zu gewähren. Wird das Master-Passwort kompromittiert,
Das Engagement von Keeper Security für den Schutz von Benutzerdaten zieht sich durch alle unsere Aktivitäten. Keeper verfügt über die am längsten bestehenden SOC 2- und ISO 27001-Zertifizierungen in der Branche. Keeper ist DSGVO-konform, CCPA-konform sowie FedRAMP– und StateRAMP-autorisiert. Da wir uns der Sicherheit der Daten unserer Kunden verpflichtet fühlen, hat Keeper proaktive Schutzmaßnahmen eingerichtet, um unsere Kunden vor der automatischen Eingabe von Anmeldeinformationen in nicht vertrauenswürdige Anwendungen oder Websites zu schützen.
Ein kürzlich veröffentlichter Bericht eines Sicherheitsexperten warf Bedenken über eine Sicherheitslücke in Android namens AutoSpill auf, die es einem Password Manager ermöglichen könnte, Anmeldeinformationen in eine nicht vertrauenswürdige Anwendung einzugeben. Keeper steht in enger Zusammenarbeit mit der Forschungsgemeinschaft im Bereich Sicherheit über unser Bug Bounty und das von Bugcrowd verwaltete Vulnerability Disclosure Program (VDP). Im Rahmen dieses Programms arbeitet Keeper mit gutgläubigen Hackern zusammen, um Probleme im Zusammenhang mit unseren Cybersicherheitslösungen zu identifizieren und zu beheben und die kollektive Cybersicherheit der gesamten Branche zu verbessern.
Keeper erhielt zunächst am 31. Mai 2022 einen Bericht des Rechercheurs und bat um ein Video, um das gemeldete Problem zu demonstrieren. Unsere Analyse ergab, dass der Rechercheur zunächst eine bösartige Anwendung installiert und anschließend die von Keeper ausgegebene Warnung akzeptiert hatte, um die Verknüpfung der bösartigen Anwendung mit einem Passwortdatensatz zu erzwingen. Die integrierten Schutzmaßnahmen von Keeper schützen vor solchen Szenarien. Auf der Android-Plattform wird der Benutzer von Keeper gefragt, wenn er versucht, seine Anmeldeinformationen in einer Anwendung oder auf einer Website automatisch auszufüllen. Der Benutzer wird vor der Eingabe jeglicher Informationen aufgefordert, die Verknüpfung der Anwendung zum Passwortdatensatz von Keeper zu bestätigen.
Nachfolgend finden Sie einen Screenshot, der veranschaulicht, wie Keeper gegen das oben beschriebene Szenario schützt:
Die Verknüpfung eines Datensatzes von Keeper mit einer bösartigen Anwendung könnte nur erfolgen, wenn der Benutzer wichtige Sicherheitseinstellungen auf seinem Gerät außer Kraft setzt, um eine bösartige Anwendung als Sideload zu laden, oder eine gefährliche Anwendung außerhalb des offiziellen App Store herunterlädt. In der Folge müsste der Benutzer die Verknüpfung des Datensatzes von Keeper mit der bösartigen Anwendung explizit autorisieren, um die genehmigten Anmeldeinformationen automatisch auszufüllen. Am 29. Juni 2022 informierten wir den Rechercheur über die Software-Sicherheitsschutzmaßnahmen von Keeper und empfahlen ihm außerdem, seinen Bericht an Google zu übermitteln, da seine Bedenken insbesondere mit der WebView-Komponente von Android zusammenhängen.
Es gibt einfache Best Practices, die Benutzer eines Password Managers, einschließlich Keeper, zu ihrem eigenen Schutz stets befolgen sollten:
- Laden Sie Apps nur über vertrauenswürdige Websites wie den Google Play Store herunter. Diese Apps durchlaufen einen Einreichungs- und Genehmigungsprozess, der Benutzer vor der unbeabsichtigten Installation einer bösartigen Softwareanwendung schützt.
- Verknüpfen Sie Datensätze in Ihrem Passwort-Tresor nur mit vertrauenswürdigen Apps. Genehmigen Sie die Verknüpfung oder das automatische Ausfüllen Ihrer Anmeldeinformationen mit nicht vertrauenswürdigen Anwendungen oder Websites nicht.
Keeper bietet eine Fülle von Bildungsressourcen, die jedem dabei helfen, seine Cybersicherheit zu verbessern und Best Practices zu befolgen. Wir empfehlen Ihnen, bei den von Ihnen installierten Anwendungen stets vorsichtig und wachsam zu sein.
Erfahren Sie mehr darüber, wie Sie Ihr Smartphone schützen können.