Несколько месяцев назад, Флориан Богнер (Florian Bogner), нашел уязвимость в популярном менеджере паролей. Вроде бы ничего особенного, в современно ПО отсутствие уязвимостей, чаще всего, вызвано не очень глубоким анализом, а не идеальностью написанного кода. Удивление вызывает то, что сообщив об ошибке он получил ответ, что уязвимость не будет устранена, поскольку может повлечь за собой многочисленные трудности и возможную потерю доходов от рекламы.
Менеджеры паролей многие ценят именно за неприступность, куда проще хранить пароли, зная, что до них не доберутся злоумышленники, но такой ответ как-то увеличивает оптимизм. Суть уязвимости в том, что для обновления KeePass использует протокол http, причем приложение никак не сравнивает полученные пакеты с обновлением. Нам наглядно показывают, как можно подменить обновление на вредоносный код и тем самым получить доступ к данным.
https://www.youtube.com/watch?v=gOxcQSbpA-Q
Как позже отписались сами разработчики, перевод обновления на https пока бесполезен. Из-за ряда трудностей они вынуждены пока оставаться на http, включая сам сайт KeePass. Упоминание рекламы в письке, которого никто не видел – конечно не очень хороший поступок, оставлять открытыми уязвимости тоже, но это не повод бросать KeePass. Многие эксперты сходятся во мнении, что менеджером паролей по-прежнему можно пользоваться безболезненно, вот только обновлять приложение лучше через скачанный дистрибутив, вручную.
По материалам: seclists.org | sourceforge.net