Bezpečnost | Heslo | Únik dat

Ze správce hesel KeePass lze potichu vytáhnout data. Dle autorů však nejde o zranitelnost

  • Zranitelnost KeePass umožňuje export databáze hesel
  • Export se spouští na pozadí bez vědomí uživatele
  • Vývojáři však tvrdí, že se nejedná o zranitelnost

Web Bleeping Computer se zabývá zajímavou kauzou, týkající se oblíbeného správce hesel KeePass. Z aplikace prý lze bez vědomí uživatele vytáhnout celou databázi hesel v čitelném formátu. Její autoři ale tvrdí, že se nejedná o bezpečnostní zranitelnost.

KeePass je velmi populární open-source správce hesel, který umožňuje ukládání přihlašovacích údajů do lokálně uložené databáze. Nepoužívá tedy databázi hostovanou v cloudu, jako některá z konkurenčních řešení – například LastPass nebo Bitwarden. Uživatelé mohou databázi zašifrovat heslem, což by ji mělo chránit před neoprávněným přístupem i v případě jejího odcizení.

Hesla ve formátu prostého textu

Nová zranitelnost, evidovaná jako CVE-2023-24055, umožňuje útočníkům s právem zápisu do konfiguračního souboru ve formátu XML přidat příkaz, který zajistí export celé databáze včetně všech uživatelských jmen a hesel v podobě prostého textu.

Při následujícím spuštění aplikace KeePass a zadání hlavního hesla pro otevření a dešifrování databáze se spustí exportní pravidlo, které uloží obsah databáze do textového souboru. Ten mohou útočníci následně odeslat na své servery a poté takto získané údaje zneužít.

Za zásadní problém považují objevitelé bezpečnostního nedostatku skutečnost, že se proces exportu spustí na pozadí, aniž by na to byl uživatel jakkoli upozorněn nebo aniž by KeePass před zahájením požadoval zadání hlavního hesla jako potvrzení. Útočník tak získá přístup k datům bez vědomí uživatele.

Po nahlášení požádali uživatelé vývojový tým stojící za aplikací KeePass, aby před tichým exportem databáze přidal výzvu k potvrzení, nebo aby poskytl verzi aplikace bez funkce exportu. Dalším požadavkem bylo přidání konfigurovatelného příznaku pro zákaz exportu uvnitř vlastní databáze, který by bylo možné změnit pouze se znalostí hlavního hesla.

Vývojáři KeePassu nesouhlasí

Vývojářský tým aplikace KeePass objev zpochybňuje a tvrdí, že by tato chyba neměla být klasifikována jako zranitelnost vzhledem k tomu, že útočníci s právem k zápisu do konfiguračního souboru mohou informace obsažené v databázi KeePass získat i jinými prostředky.

Na stránce „Bezpečnostní problémy“ v centru nápovědy KeePass je totiž problém „Přístup k zápisu do konfiguračního souboru“ zmiňován minimálně od dubna 2019. Je popisován tak, že „ve skutečnosti nejde o bezpečnostní zranitelnost aplikace KeePass.

„V případech, kdy má útočník přístup k zápisu do konfiguračního souboru KeePass, to obvykle znamená, že může provést mnohem silnější útoky než jen úpravu tohoto souboru (a tyto útoky nakonec mohou ovlivnit i KeePass, nezávisle na ochraně konfiguračního souboru),“ vysvětlují vývojáři.

Přestože vývojáři KeePass neposkytnou uživatelům verzi aplikace, která by řešila problém tichého exportu do textového souboru, je možné databázi zabezpečit přihlášením jako správce systému a vytvořením vynuceného konfiguračního souboru. Tento typ konfiguračního souboru pak má přednost před nastaveními definovanými v globálních a místních konfiguračních souborech, včetně nových příkazů přidaných záškodníky.

Diskuze (29) Další článek: Rover Perseverance nachystal k vyzvednutí poslední vzorek marsovských hornin

Témata článku: , , , , , , , , , , , , , , , ,