Die automatische Update-Benachrichtigung des beliebten Open-Source-Passwortmanagers KeePass 2 nutzt eine ungesicherte Verbindung und lässt sich durch Dritte manipulieren. Eine Umstellung auf HTTPS lehnt der Entwickler derzeit ab.
Die Update-Funktion der bei Windows-Anwendern beliebten Passwortverwaltung KeePass 2 ist auch in der derzeit aktuellen Version 2.33 kompromittierbar. Darauf wies der Sicherheitsexperte Florian Bogner in einem Update seines bereits im März veröffentlichten Blog-Beitrags hin. Betroffen ist die offizielle Windows-Variante, nicht aber die inoffiziellen Portierungen wie die Mac-OS/Linux-Variante KeePassX oder die Android-App KeePassDroid.
Anzeige
KeePass prüft auf Wunsch regelmäßig, ob eine neue Version verfügbar ist. Dazu lädt die Anwendung Versionsinformationen mit einer unverschlüsselten Verbindung per HTTP von der Entwickler-Website herunter. Bogner demonstriert anschaulich, wie sich die Anwendung mittels eines Man-in-the-Middle-Angriffs täuschen lässt, sodass sie auf eine Version hinweist, die nicht existiert. KeePass lädt zwar nicht automatisch Updates herunter und öffnet lediglich die ebenso nicht per HTTPS abgesicherte Website. Diese lässt sich somit ebenfalls per MitM verändern, um Anwendern etwa eine manipulierte Version von KeePass unterzuschieben.
Bogner kritisiert zudem, dass gerade ein sicherheitsrelevantes Tool wie ein Passwortmanager dem Anwender keine weiteren Risiken bescheren sollte. Er empfiehlt dem KeePass-Entwickler Dominik Reichl die komplette Umstellung auf HTTPS. Dieser hat dem Sicherheitsexperten auf Anfrage unter anderem geringere Werbeeinnahmen als Grund für das Festhalten an HTTP mitgeteilt. Im Diskussionsforum auf Sourceforge bestätigt er diese Aussage zwar nicht konkret, verspricht aber, auf HTTPS umzustellen, sobald es ihm möglich sei. Bislang sprächen diverse – nicht weiter ausgeführte – Gründe dagegen. [Update 6.6.2016, 18:20: Mittlerweile hat der Entwickler auch eine öffentliche Stellungnahme auf der KeePass-Website veröffentlicht. Dort betont er, dass die Update-Funktion lediglich der Information dient und keine Updates lädt oder installiert. Zudem wendet Reichl ein, dass HTTPS nicht vor kompromittierten Download-Servern schützt und empfiehlt das Prüfen der Signatur (siehe oben). Ferner soll ab Version 2.34 die Datei mit den Versions-Informationen digital signiert sein, um Manipulationen zu verhindern.]
Über die Datei-Eigenschaften lässt sich die Signatur von Programmen überprüfen.
Tipps für sichere Updates von KeePass 2
KeePass-Schöpfer Reichl empfiehlt in dem Beitrag, bei jedem Update die digitale Signatur der Software zu überprüfen. Dazu öffnet man den Reiter "Digitale Signaturen" Datei-Eigenschaften über das Kontextmenü des Explorers. Sowohl das Programm selbst als auch der Installer seien entsprechend signiert. Angaben zu den korrekten Zertifikaten macht der Entwickler aber nicht.
Risiko Update-Funktion
Immer wieder fallen Anwendungen durch unzureichend abgesicherte Update-Funktionen auf. Unlängst standen die vorinstallierten Update-Tools vieler PC-Hersteller wie Dell, Lenovo und Acer in der Kritik.
(wre)
Als junger Leser heise+ mit 50 % Rabatt lesen. Exklusive Tests, Ratgeber & Hintergründe. Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.Sichern Sie sich jetzt als junger Leser heise+ mit 50 % Rabatt. Exklusive Tests, Ratgeber & Hintergründe. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.
