Passwort-Manager “Keeper” in Windows 10 verrät Passwörter

Tavis Ormandy, Sicherheitsforscher von Google, hat nun aber eine schwerwiegende Sicherheitsleck in der Passwortverwaltung Keeper entdeckt und erste Details veröffentlicht. Wird ein Nutzer auf eine manipulierte Seite gelockt, können sämtliche gespeicherten Passwörter abfließen. Inzwischen liegt für diese Drittanbieter App ein Patch vor. Keeper ist kostenlose für Windows 10 verfügbar und wird inzwischen zusammen mit Windows 10 ausgeliefert. Vermutlich wurde zwischen Microsoft und Keeper eine Art Abkommen geschlossen.

Laut eigenen Angaben hatte Keeper die Schwachstelle innerhalb von 24 Stunden behoben und die Browser-Erweiterungen für Edge, Chrome und Firefox wurden bereits automatisch aktualisiert.

Für Apples Safari müssen Anwender Keeper-Erweiterung für Safari können das Update auf Keeper Version 11.4.4 manuell durchführen. Der Hersteller streicht heraus, dass bislang keine Fälle bekannt wurden, bei denen diese Sicherheitslücke ausgenutzt wurden.

Damit dieses Leck ausgenutzt werden kann, muss ein Keeper-User mit aktivierter Browser-Erweiterung auf eine bösartige Webseite gelockt werde. Hier wird der Nutzer dann wird über Clickjacking oder das Zwischenschalten eines bösartigen Codes, ein privilegierter Code innerhalb der App ausgeführt. Das führt dann dazu, dass die gespeicherten Passwörter ausgegeben werden.

“Wie auch immer: das ist eine vollständiger Ausfall der Sicherheit von Keeper, der es jeder beliebigen Webseite erlaubt, jedes Passwort zu stehlen”, kommentiert Omandi. Der Sicherheitsforscher erklärt, dass er im aktuellen Fall jedoch keine neue Lücke sieht. Vielmehr handle es sich um ein altbekanntes Leck, das er bereits im August des vergangenen Jahres beschrieben hatte. Um das aktuelle Leck aufzuspüren hatte Omandi die gleichen Selektoren und Abfragen genutzt. Ein Demo seiner Entdeckung zeigt Omandi hier.