Dubbla problem för lösenords­hanteraren Keepass

Det har varit mycket rabalder kring lösenordshanteraren Keepass de senaste dagarna. Keepass är en omtyckt och väletablerad lösenords­hanterare med öppen källkod. Den lagrar lösenorden lokalt på datorn i stället för att synkronisera dem via en molntjänst. Keepass är i grund och botten en Windows-app, men den kan även köras på Mac OS och Linux genom kompatibilitetslagret Mono.

Skadeprogram kan kapa huvudlösenordet

I slutet av förra veckan rapporterade Bleeping Computer om en sårbarhet i Keepass (CVE-2023-3278) som gjorde det möjligt för skadeprogram att läsa användarnas huvud­lösenord. Säkerhetsforskaren Vdohney har publicerat ett verktyg som demonstrerar hur inskrivna huvud­lösenord kan återskapas i efterhand från en minnesdump. Utvecklarna av Keepass har bekräftat sårbarheten. De kommer att släppa en uppdatering som åtgärdar den i juni.

Sårbarheten i sig är inget skäl att sluta använda Keepass. För att sårbarheten ska kunna utnyttjas måste angriparen antingen ha fysisk tillgång till datorn eller lyckas installera ett skadeprogram på den. Ifall datorn är infekterad med ett skadeprogram är sårbarheten i Keepass ett litet problem i sammanhanget.

Observera att sårbarheten enbart påverkar Keepass. Vidare­utvecklingen KeepassXC är inte påverkad.

Utvecklare av tredjepartsklient rasar över anklagelser

Keepass har inga officiella mobilappar för IOS och Android. Det finns däremot flera tredjeparts­appar som kan hantera Keepass-formatet på lösenordsvalv. Fram till i förrgår var IOS-appen KeepassMini ett exempel på en sådan tredjeparts­app. Den appen är nu avpublicerad från App Store och dess källkod på Github är bortplockad.  

Bakgrunden till avpubliceringen var att en Reddit-användare anklagade utvecklaren av KeepassMini för att ha skickat innehållet i appens urklipp (det vill säga lösenord) till en tredjeparts­server. Reddit-användarens kommentar finns på Github medan resten av diskussions­tråden ligger kvar på r/techsupport.

Utvecklaren av KeepassMini, Frank Hausmann, har bemött anklagelserna. Han beskriver urklipps­kopieringen som klumpig men hävdar bestämt att ingen data skickades därifrån till någon server.

Here again my statement about the clumsy copying of data from the clipboard and the possible sending to an analysis system. I assure you that the data was never sent to an analysis server, as it was never operational, nor was any analysis data stored.

Frank Hausmann (2023-05-22)

Hausmann förklarar även att nätverks­anslutningarna var relaterade till ett analys­system för att förbättra användar­upplevelsen samt att användare kunde stänga av analys­funktionen från appens inställningar. Han avslutar med en syrlig kommentar om att han slutar jobba med Keepass-relaterade appar.

I will not distribute any app that handles KeePass DB files in the future, I hope the community will find an idiot to do a free project for several hours a week.

Frank Hausmann (2023-05-22)

IOS-appen KeepassMini var, som ovannämnt, inte någon officiell Keepass-app. IOS-utvecklarens klavertramp och underliga reaktion ska därför inte ligga Keepass-projektet i fatet. I väntan på klargörande av exakt vad som har hänt rekommenderar vi att de som har använt just KeepassMini byter sina huvudlösenord.

Rekommendationer

Ingen av de två incidenterna påverkar vår rekommendation av Keepass. Observera att rekommendationen enbart gäller den officiella Keepass-appen och vidare­utvecklingen KeepassXC (vilken för övrigt nyligen fick sina kärnfunktioner tredjeparts­granskade).

Varken Keepass eller KeepassXC har officiella appar för mobilen. Vi rekommenderar därför andra lösenords­hanterare för användare som vill synkronisera sina lösenordsvalv med mobilen (Bitwarden eller 1password). Bitwarden, 1password och KeepassXC är också rekommenderade av oberoende och community-drivna Privacy Guides.

Denna artikel är publicerad under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar