Keeper verklagt Journalisten nach Bericht über Sicherheitslücke

Der Passwort-Manager Keeper verrät unter Umständen die Passwörter. Die Sicherheitslücke ist ähnlich schon 2016 aufgetreten. US-Journalist Dan Goodin berichtete, woraufhin Keeper ihn mit einer Klage eingedeckt hat.

In Pocket speichern vorlesen Druckansicht 123 Kommentare lesen
Gartentor ohne Zaun daneben, Schild "Please close gate"

(Bild: Sergei Gutnikov CC BY-SA 3.0)

Lesezeit: 3 Min.

Keeper Security verklagt den Journalisten Dan Goodin und den Verlag Condé Nast. Anlass ist ein Bericht Goodins über eine Sicherheitslücke: Die Webbrowser-Erweiterung des Passwort-Managers Keeper 11.3 ist verwundbar, Angreifer könnten darüber die Passwörter aus dem Manager auslesen. Auch heise security hat darüber berichtet. Besonders peinlich: Keeper hatte einen ähnlichen Fehler bereits voriges Jahr in seine Software eingebaut.

Sicherheitsforscher Tavis Omandy erstellte eine Demo-Seite für den Keeper-Bug.

(Bild: Screenshot Ormandy)

Die Berichterstattung Goodins auf Condé Nasts Website Ars Technica stört Keeper offenbar enorm. Die Firma behauptet in ihrer Klage, Journalist und Verlag hätten sie absichtlich schädigen wollen: "Ziel und Ergebnis des Artikels waren, Keeper und seine Mitarbeiter zu schädigen und Keeper Produkte schlecht zu machen." Die Klägerin verlangt Schadenersatz für üble Nachrede (Defamation) und Geschäftsschädigung (Commercial Disparagement) nach dem Recht des US-Bundesstaates Illinois.

Die aktuelle Sicherheitslücke hat der Google-Mitarbeiter Tavis Ormandy gefunden. Er hatte Windows 10 aus dem Microsoft Developer Network (MSDN) heruntergeladen und installiert. Dabei bemerkte er, dass der Passwort-Manager "Keeper Password & Data Vault" ungefragt mitinstalliert wurde. Dessen Setup-Routine sah dann die Installation der Browser-Erweiterung vor. Mit Hilfe dieser Erweiterung hätte eine böswillige Webseite die Passwörter aus dem Passwort-Manager auslesen können.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wer beim Keeper-Setup hier nicht "Skip" klickt, bekommt die Browsererweiterung.

(Bild: Keeper/Screnshot Ormandy)

Ormandy informierte Keeper, das mit einem Update auf Version 11.4.4 reagierte. Ormandy glaubt, dass damit die anfällige Funktion einfach deaktiviert wird. Microsoft stoppte die Bündelung Keepers mit den einschlägigen Windows-10-Versionen.

Keeper meint, Passwort-Manager und Browser-Erweiterung seien getrennt zu betrachten. Daher sei Goodins Bericht, dass die anfällige Software in bestimmten Versionen von Windows 10 enthalten war, falsch. Denn die Sicherheitslücke tritt erst nach Setup samt Installation der Browser-Erweiterung, Anlegen eines Keeper-Kontos und Speicherung von Passwörtern auf.

Keeper ist offenbar leicht zu entmutigen: 2013 hat das Unternehmen der IT-Sicherheitsfirma Fox-IT mit einer Klage gedroht. Fox-IT hatte das Unfassbare entdeckt: Die damalige Keeper-Version 5.3 für iOS speicherte die Passwörter schlicht unverschlüsselt. Anstatt mit den Sicherheitsexperten Fox-ITs zu kooperieren, schaltete Keeper die Rechtsabteilung ein, die mit einer Klagedrohung jegliche Veröffentlichung unterbinden wollte.

Vergangenes Jahr hat das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in einer Untersuchung zwei mittelschwere Schwachstellen in Keepers Android-App gefunden. Demnach war es Angreifern sowohl möglich, die vor einer Änderung des Master-Passworts gestellte Sicherheitsfrage zurückzusetzen, als auch unbefugt Daten in den Passwortmanager einzufügen.

(ds)