Keepass-Update-Check: Werbung vor Sicherheit?

Gehackt! Das geht leicht, wenn die Webseite nicht per HTTPS gesichert ist.

Der Update-Check des ansonsten als sicher geschätzten Passwort-Managers Keepass kann gehackt werden. Der Autor wehrt sich aber (noch) gegen eine Absicherung um die Werbeeinnahmen nicht zu gefährden.

Alexander Fagot, Veröffentlicht am 05.06.2016

Nicht nur Update-Tools der PC-Hersteller können offensichtlich leicht gehackt werden, auch als sicher geltende Produkte wie Passwort-Manager haben offenbar leicht zugängliche Schwachstellen. Im Fall von Keepass, dem Open Source Passwort-Managers für Windows, OS X und Linux betrifft es zwar nicht das Produkt selbst aber dessen Update-Check. Dieser basiert auf einer unverschlüsselten HTTP-Verbindung und kann, siehe Video unten, ohne allzu viel Aufwand in wenigen Minuten durch eine Man-in-the-Middle (MitM)-Attacke gehackt werden. Der Grund ist die fehlende Verschlüsselung der Webseite und damit des Update-Checks. Das wäre an sich noch keine Newsmeldung wert, wenn der Entwickler die Schwachstelle rasch behoben hätte, allerdings schlägt die erste Reaktion des Entwicklers auf den Hack nun Wellen über das Hackerforum hinaus:

"Die Sicherheitslücke würde nicht behoben weil die indirekten Kosten des Wechsels zu HTTPS (wie Verlust von Werbeeinnahmen) zu hoch wären."

Die Reaktion der Forums-Gemeinde war vorhersehbar. Der Verlust an Glaubwürdigkeit würde weit schwerer wiegen als die geringeren Werbeeinnahmen, die übrigens tatsächlich messbar sind und bereits vielfach kritisiert wurden. Zwar bessert sich die Situation zunehmend, da auch die Werbeindustrie ein Interesse daran hat, dass ihre Netzwerke nicht gehackt und für Angriffe missbraucht werden können, bis dato muss eine durchgehend verschlüsselte Webseite, die sich ausschließlich aus Werbeeinnahmen finanziert, aber immer noch mit finanziellen Einbußen rechnen. Da der Autor des kostenlos erhältlichen Passwort-Managers dankenswerterweise auf Werbung in seinem Produkt selbst verzichtet und auch bei der Installation bislang keine Adware mitliefert, ist die Antwort also verständlich, wenngleich ungeschickt, er hätte wissen müssen, dass die Reaktion der Community entsprechend negativ ausfallen dürfte.

Weil der Passwort-Manager selbst bislang als sicher gilt und nicht gehackt wurde, empfinden wir Aufrufe zu einem Wechsel als übertrieben. Dennoch sollten Benutzer des Tools reagieren und nach dem Download einer neuen Version, egal woher sie stammt, die digitale Signatur des Installers prüfen: Ein Rechtsklick auf das Setup-Programm in Windows und das Aufrufen der Eigenschaften sollte im Tab "Digitale Signaturen" eine entsprechende Signatur des Autors anzeigen. Der Entwickler von Keepass hat inzwischen angedeutet, dass er durchaus bereit wäre, die Webseite zu verschlüsseln sobald das für ihn möglich ist. Vielleicht würde eine Spende für die regelmäßige Benutzung des Passwort-Managers den Vorgang beschleunigen?

Quelle(n)

https://news.ycombinator.com/item?id=11817590

via: http://www.engadget.com/2016/06/04/keepass-wont-fix-security-hole-due-to-ads/

Verwandte Artikel

Wileyfox: Preisnachlass gegen Lockscreen-Werbung News @ 06.12.2017
Adblocker: Werbedienstleister attackiert Easylist via DMCA News @ 16.08.2017
Smartphones: Nutzer setzen bei Sicherheit auf Passwort oder Zahlencode News @ 16.08.2016
Erpressungstrojaner: Webseite und viele Decryption-Tools bieten Hilfe an News @ 26.07.2016
Ubuntu- und Trillian-Foren gehackt: Was man jetzt tun soll! News @ 17.07.2016
UPC/Unitymedia-Kunden: Standard-WLAN-Passwort ändern! News @ 09.07.2016
Sicherheit: Volksverschlüsselung für alle! News @ 30.06.2016
Sicherheit: Passwort gegen Schokolade? Funktioniert! News @ 29.06.2016
Lenovo: Noch eine Sicherheitslücke News @ 26.06.2016
ZITis: Neue Entschlüsselungsbehörde für Deutschland News @ 24.06.2016
LG: Eigene Seite für Mobile Security News @ 22.06.2016
Google Prompt: Deutlich einfachere Zwei-Faktor-Authentifizierung News @ 21.06.2016
Notebook und PC-Update-Tools: Sofort Deinstallieren! News @ 04.06.2016
Android: Sicherheits-Apps mangelhaft News @ 02.06.2016
LG: Sicherheitslücke in Android-Software News @ 01.06.2016
Lenovo: Erneut Sicherheitslücke in vorinstallierter Software News @ 09.05.2016
Security: 39 Prozent der Internetnutzer haben Sicherheitsbedenken bei persönlichen Daten News @ 17.03.2016
Fitness-Tracker: Boom, kritische Sicherheitslücken und Überwachung durch Krankenkassen News @ 09.02.2016
Trendumfrage: Sicherheit für IT-Unternehmen Thema des Jahres News @ 25.01.2016
Lenovo: Update-Service als weiteres massives Sicherheitsrisiko News @ 06.05.2015

Loading Comments

Diesen Artikel kommentieren / Antworten

Facebook: Zwang zum Messenger

Lenovo Moto Z: Die StyleMods kommen!

Alexander Fagot - Managing Editor News - 9800 Artikel auf Notebookcheck veröffentlicht seit 2016

Als Tech-begeisterter Jugendlicher mit Assembling- und Overclocking-Vergangenheit, arbeitete ich als Filmvorführer noch mit dem guten alten 35 mm Film, bevor ich professionell in die Computerwelt eingestiegen bin und 7 Jahre lang Kunden beim österreichischen IT-Dienstleister Iphos IT Solutions als Windows Client- und Server-Administrator sowie Projektmanager betreut habe. Als viel reisender Freelancer schreibe ich nun schon seit 2016 für Notebookcheck von allen Ecken dieser Welt aus über brandaktuelle mobile Technologien in Smartphones, Laptops und Gadgets aller Art.

Kontakt: @alfawien

Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!

> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2016-06 > Keepass-Update-Check: Werbung vor Sicherheit?

Autor: Alexander Fagot, 5.06.2016 (Update: 5.06.2016)