Interna vom Passwortmanager Keeper geleakt
Offenbar hätten Angreifer bestimmte Installationsdateien von Keeper gegen manipulierte, aber legitim anmutende Versionen austauschen können.
(Bild: Pixabay)
Der Sicherheitsforscher Chris Vickery stieß auf einen nicht abgesicherten und somit offen über das Internet erreichbaren Server der Entwickler des Passwortmanagers Keeper. Dort soll sich neben Installationsdateien für verschiedene Systeme unter anderem ein Apple-Zertifikat zum Signieren von Code und ein privater Schlüssel befunden haben, berichtet das IT-Portal ZDNet.
Vickery gibt an, dass er zu diesem Zeitpunkt vollen Schreibzugriff auf den Server hatte. In einem Statement verneint ein Sprecher von Keeper diesen Vorwurf und sagt außerdem, dass auf dem Server kein privater Schlüssel lag. Mittlerweile soll der Server nicht mehr öffentlich erreichbar sein.
Mit diesen Mitteln ausgestattet hätte ein Angreifer eine manipulierte Installationsdatei des Passwortmanagers für iPhones mit dem Apple-Zertifikat signieren und verbreiten können. Durch die Signierung würde ein iPhone eine präparierte Keeper-Ausgabe ohne zu meckern installieren. In dem Bericht gibt es keinerlei Hinweise darauf, dass das bereits geschehen ist. Unklar ist derzeit auch, ob die Downloadlinks der Webseite des Passwortmanagers auf den ehemals offenen Server verweisen.
Journalist verklagt
Ende 2017 sorgte die Firma hinter dem Passwortmanager Keeper Security für Schlagzeilen, als sie einen US-Journalisten verklagte, weil dieser über eine Sicherheitslücke in Keeper berichtete. Darüber hätten Angreifer unter gewissen Voraussetzungen Passwörter auslesen können. Auf diese Lücke stieß der renommierte Sicherheitsforscher Tavis Ormandy von Googles Project Zero. Der Anwalt des Journalisten forderte, die Klage abzuweisen. Keeper verlangt nun, dass das Gericht diesen Antrag ablehnt.
tipps+tricks zum Thema:
(des)
