Wachtwoordmanager KeePass blijkt kwetsbaar voor een onderscheppingsaanval op updates voor het programma zelf. De fix is overstappen op https maar volgens KeePass kan dat niet zomaar.
De open source software KeePass 2 is kwetsbaar voor malafide updates en nepnotificaties voor updates. Een Duitse security-onderzoeker heeft ontdekt dat zowel de controle op updates als ook het downloaden daarvan gebeurt via onbeveiligde internetverbindingen. De connectie met de site van KeePass verloopt via http in plaats van https. Hierdoor kunnen kwaadwillenden verkeer met de site
valse meldingen te geven dat er zogenaamde updates zijn en zelfs malafide updates aanbieden.
Https versus ads
Deze vatbaarheid voor zogeheten MitM-aanvallen (Man-in-the-Middle) is in februari al ontdekt en toen in vertrouwen gemeld aan de ontwikkelaar van KeePass. Die heeft gelijk gereageerd, met de mededeling dat de kwestie niet wordt gefixt, omdat het overstappen op https indirecte kosten met zich meeneemt. In de communicatie aan ontdekker Florian Bogner deelt developer Dominik Reichl mee dat het bijvoorbeeld gaat om mis te lopen ads-inkomsten door een overstap naar beveiligde verbindingen voor de KeePass-website.
Deze week heeft de kwetsbaarheid een officiële CVE-code (Common Vulnerabilities and Exposures) gekregen en is het breed geopenbaard. Bogner heeft hierbij nog gecontroleerd of de huidige versie van KeePass ook kwetsbaar is. Dat blijkt inderdaad het geval te zijn, meldt hij in zijn bijgewerkte blogpost. De kwetsbaarheid is door Bogner ontdekt in versie 2.31 en het is nog aanwezig in de op 7 mei uitgebrachte versie 2.33.
‘Nu niet mogelijk’
Inmiddels heeft ontwikkelaar Reichl een meer genuanceerde reactie gegeven. In het discussieforum over de gratis wachtwoordmanager geeft hij de uitleg dat de downloadsite voor KeePass niet zomaar naar https is over te hevelen. Dat is volgens hem nutteloos als de hoofdsite nog gewoon op http bereikbaar is. “Helaas is het om uiteenlopende redenen momenteel niet mogelijk om https te gebruiken, maar ik volg dit en zal natuurlijk overschakelen naar https wanneer dat mogelijk is.”
KeePass-maker Reichl stelt dat het echter veel belangrijker is dat eindgebruikers hun download controleren. “Wat ik aanraad ongeacht waar je KeePass vandaan downloadt.” De downloadbestanden zijn namelijk digitaal ondertekend middels Authenticode. Deze controlecode valt te bekijken door in de Windows Verkenner met de rechtermuisklik de Eigenschappen van het gedownloade bestand op te roepen.
Ondertussen geeft security-onderzoeker Bogner eigen advies aan KeePass-gebruikers. Hij raadt aan om updatemeldingen niet klakkeloos te geloven en om updates direct vanaf de SourceForge-pagina van KeePass te downloaden. Dit zijn echter tussenoplossingen. Het beste is volgens Bogner dat op z’n minst de versiecontrole en download via https lopen, maar beter nog is algehele omleiding van al het http-verkeer naar de https-site.