Sicherheit : Passwortmanager KeePass 2 potentiell angreifbar

, 89 Kommentare
Sicherheit: Passwortmanager KeePass 2 potentiell angreifbar
Bild: stevi3boy (CC BY 2.0)

Der Passwortmanager KeePass 2 ist potentiell gefährdet, weil der Entwickler sich weigert, eine automatische Update-Routine mit HTTPS besser abzusichern. Die Begründung lautet, Werbeeinnahmen würden mit HTTPS sinken. Somit bleibt KeePass 2 gegen Man-in-the-Middle-Angriffe verwundbar.

Beim ersten Start des Open-Source-Passwortmanagers KeePass 2 wird der Anwender gefragt, ob er der Empfehlung nachkommen und den automatischen Update-Check aktivieren möchte. Wird dies bestätigt, werden bis hin zur aktuellen Version 2.33 unverschlüsselte HTTP-Anfragen verwendet, um auf vorhandene Updates zu prüfen.

Diese Verwundbarkeit hat der Software-Entwickler Florian Bogner (PDF) entdeckt und auf seiner Webseite veröffentlicht. Bogner führt einen Angriff vor, der dem Anwender per Man-in-the-Middle-Angriff vortäuscht, es sei ein Update verfügbar. Dann könnte der Nutzer beispielsweise auf eine Seite geleitet werden, die mit einer präparierten Version von KeePass 2 Malware einspielt. Als Gegenmaßnahme empfiehlt Bogner, den automatischen Update-Check abzuschalten und Aktualisierungen manuell über die mit HTTPS gesicherte Webseite von SourceForge herunterzuladen anstatt über die Downloadseite des Projekts.

Abhilfe „wenn möglich“

Bogner hat nach eigenen Angaben den KeePass-Entwickler Dominik Reichl am 8. Februar privat auf die Lücke aufmerksam gemacht. Gleichzeitig beantragte Bogner eine CVE-Nummer. Reichl soll am gleichen Tag geantwortet haben, HTTPS sei wegen Einbußen bei den Werbeeinnahmen derzeit keine gangbare Lösung. Am 30. Mai wurde von MITRE die Nummer CVE-2016-5119 vergeben. Reichl hat sich gestern auf Nachfragen auf Sourceforge zu dem Problem geäußert und Abhilfe versprochen, „sobald das möglich ist“. Auf die Gründe für sein Verhalten geht er hier nicht ein.

Neben KeePass 2 bietet Reichl auf der gleichen Downloadseite auch die Classic Edition KeePass an. KeePassX wird dagegen unabhängig entwickelt und ist von der potentiellen Lücke nicht betroffen. Die c't hat sich 2015 dem Thema der verminderten Werbeeinnahmen bei Mixed Content gewidmet.

YouTube-Video: MitM Attack against KeePass 2’s Update Check