Notebookcheck

Keepass-Update-Check: Werbung vor Sicherheit?

Gehackt! Das geht leicht, wenn die Webseite nicht per HTTPS gesichert ist.
Gehackt! Das geht leicht, wenn die Webseite nicht per HTTPS gesichert ist.
Der Update-Check des ansonsten als sicher geschätzten Passwort-Managers Keepass kann gehackt werden. Der Autor wehrt sich aber (noch) gegen eine Absicherung um die Werbeeinnahmen nicht zu gefährden.

Nicht nur Update-Tools der PC-Hersteller können offensichtlich leicht gehackt werden, auch als sicher geltende Produkte wie Passwort-Manager haben offenbar leicht zugängliche Schwachstellen. Im Fall von Keepass, dem Open Source Passwort-Managers für Windows, OS X und Linux betrifft es zwar nicht das Produkt selbst aber dessen Update-Check. Dieser basiert auf einer unverschlüsselten HTTP-Verbindung und kann, siehe Video unten, ohne allzu viel Aufwand in wenigen Minuten durch eine Man-in-the-Middle (MitM)-Attacke gehackt werden. Der Grund ist die fehlende Verschlüsselung der Webseite und damit des Update-Checks. Das wäre an sich noch keine Newsmeldung wert, wenn der Entwickler die Schwachstelle rasch behoben hätte, allerdings schlägt die erste Reaktion des Entwicklers auf den Hack nun Wellen über das Hackerforum hinaus:

"Die Sicherheitslücke würde nicht behoben weil die indirekten Kosten des Wechsels zu HTTPS (wie Verlust von Werbeeinnahmen) zu hoch wären."

Die Reaktion der Forums-Gemeinde war vorhersehbar. Der Verlust an Glaubwürdigkeit würde weit schwerer wiegen als die geringeren Werbeeinnahmen, die übrigens tatsächlich messbar sind und bereits vielfach kritisiert wurden. Zwar bessert sich die Situation zunehmend, da auch die Werbeindustrie ein Interesse daran hat, dass ihre Netzwerke nicht gehackt und für Angriffe missbraucht werden können, bis dato muss eine durchgehend verschlüsselte Webseite, die sich ausschließlich aus Werbeeinnahmen finanziert, aber immer noch mit finanziellen Einbußen rechnen. Da der Autor des kostenlos erhältlichen Passwort-Managers dankenswerterweise auf Werbung in seinem Produkt selbst verzichtet und auch bei der Installation bislang keine Adware mitliefert, ist die Antwort  also verständlich, wenngleich ungeschickt, er hätte wissen müssen, dass die Reaktion der Community entsprechend negativ ausfallen dürfte.

Weil der Passwort-Manager selbst bislang als sicher gilt und nicht gehackt wurde, empfinden wir Aufrufe zu einem Wechsel als übertrieben. Dennoch sollten Benutzer des Tools reagieren und nach dem Download einer neuen Version, egal woher sie stammt, die digitale Signatur des Installers prüfen: Ein Rechtsklick auf das Setup-Programm in Windows und das Aufrufen der Eigenschaften sollte im Tab "Digitale Signaturen" eine entsprechende Signatur des Autors anzeigen. Der Entwickler von Keepass hat inzwischen angedeutet, dass er durchaus bereit wäre, die Webseite zu verschlüsseln sobald das für ihn möglich ist. Vielleicht würde eine Spende für die regelmäßige Benutzung des Passwort-Managers den Vorgang beschleunigen?

Quelle(n)

https://news.ycombinator.com/item?id=11817590

via: http://www.engadget.com/2016/06/04/keepass-wont-fix-security-hole-due-to-ads/

static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Teilen Sie diesen Artikel um uns zu unterstützen. Jeder Link hilft!
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2016-06 > Keepass-Update-Check: Werbung vor Sicherheit?
Autor: Alexander Fagot,  5.06.2016 (Update:  5.06.2016)
Alexander Fagot
Alexander Fagot - Editor
Als Tech- und Gadget-begeisterter Allrounder mit Desktop-Selbstbau- und Overclocking-Vergangenheit, arbeitete ich als Filmvorführer noch mit dem guten alten 35 mm Film, bin dann zusehends auch professionell in die Computerwelt geschlittert und schuftete einige Jahre als Windows-Admin und Projektmanager. Nach längeren Reisen schreibe ich nun von allen Ecken dieser Welt aus als News-Redakteur für Notebookcheck und konzentriere mich im Moment tendenziell auf den Bereich Mobile.