Розробники менеджера паролів KeePass відмовилися виправляти вразливість

Xakep #241. Злом ігор

На початку поточного року Богнер виявив, що KeePass версій 2.x містить неприємний баг: механізм оновлення програми влаштований таким чином, що звернення за апдейтами до KeePass серверів здійснюється за допомогою HTTP. Завдяки цій особливості на KeePass можна здійснити man-in-the-middle атаку, підмінивши легітимний апдейт шкідливим файлом. До того ж менеджер паролів ніяк не верифікує пакети оновлень, що скачуються, що додатково спрощує роботу зловмиснику. Демонстрацію атаки можна побачити у ролику нижче.

Рейчл на подив спокійно сприйняв шквал критики, що обрушився на нього. Він заявив, що не збирається змінювати своє рішення щодо підтримки HTTPS, але повідомив, що для боротьби з проблемою в KeePass було додано цифрові підписи для пакетів оновлень, які менеджер перевірятиме перш ніж приступити до роботи з апдейтом.

«Це правда зараз сайт KeePass не підтримує HTTPS. Переміщувати файли з інформацією про оновлення на сайт з підтримкою HTTPS марно, якщо сайт самого KeePass, як і раніше, працює на HTTP. Використання HTTPS має сенс тільки в обох випадках. На жаль, використання HTTPS зараз з ряду причин неможливе, але я стежу за цією проблемою, і ми, звичайно, перейдемо на HTTPS, коли це стане можливо. Набагато важливіше верифікувати те, що ви завантажуєте (я б рекомендував робити це незалежно від того, звідки ви завантажуєте KeePass). Бінарники мають цифровий підпис (Authenticode), їх можна перевірити через Windows Explorer, зайшовши в Properties і відкривши вкладку Digital Signatures», пише Рейчл на Sourceforge.

Хоча глава KeePass і пообіцяв міграцію на HTTPS у майбутньому, поки експерти рекомендують користуватися верифікацією пакетів оновлень, а ще краще.завантажувати поновлення для менеджера паролів вручну, з офіційного сайту.

---