Det har varit mycket rabalder kring lösenordshanteraren Keepass de senaste dagarna. Keepass är en omtyckt och väletablerad lösenordshanterare med öppen källkod. Den lagrar lösenorden lokalt på datorn i stället för att synkronisera dem via en molntjänst. Keepass är i grund och botten en Windows-app, men den kan även köras på Mac OS och Linux genom kompatibilitetslagret Mono.
Skadeprogram kan kapa huvudlösenordet
I slutet av förra veckan rapporterade Bleeping Computer om en sårbarhet i Keepass (CVE-2023-3278) som gjorde det möjligt för skadeprogram att läsa användarnas huvudlösenord. Säkerhetsforskaren Vdohney har publicerat ett verktyg som demonstrerar hur inskrivna huvudlösenord kan återskapas i efterhand från en minnesdump. Utvecklarna av Keepass har bekräftat sårbarheten. De kommer att släppa en uppdatering som åtgärdar den i juni.
Sårbarheten i sig är inget skäl att sluta använda Keepass. För att sårbarheten ska kunna utnyttjas måste angriparen antingen ha fysisk tillgång till datorn eller lyckas installera ett skadeprogram på den. Ifall datorn är infekterad med ett skadeprogram är sårbarheten i Keepass ett litet problem i sammanhanget.
Observera att sårbarheten enbart påverkar Keepass. Vidareutvecklingen KeepassXC är inte påverkad.
Utvecklare av tredjepartsklient rasar över anklagelser
Keepass har inga officiella mobilappar för IOS och Android. Det finns däremot flera tredjepartsappar som kan hantera Keepass-formatet på lösenordsvalv. Fram till i förrgår var IOS-appen KeepassMini ett exempel på en sådan tredjepartsapp. Den appen är nu avpublicerad från App Store och dess källkod på Github är bortplockad.
Bakgrunden till avpubliceringen var att en Reddit-användare anklagade utvecklaren av KeepassMini för att ha skickat innehållet i appens urklipp (det vill säga lösenord) till en tredjepartsserver. Reddit-användarens kommentar finns på Github medan resten av diskussionstråden ligger kvar på r/techsupport.
Utvecklaren av KeepassMini, Frank Hausmann, har bemött anklagelserna. Han beskriver urklippskopieringen som klumpig men hävdar bestämt att ingen data skickades därifrån till någon server.
Here again my statement about the clumsy copying of data from the clipboard and the possible sending to an analysis system. I assure you that the data was never sent to an analysis server, as it was never operational, nor was any analysis data stored.
Frank Hausmann (2023-05-22)
Hausmann förklarar även att nätverksanslutningarna var relaterade till ett analyssystem för att förbättra användarupplevelsen samt att användare kunde stänga av analysfunktionen från appens inställningar. Han avslutar med en syrlig kommentar om att han slutar jobba med Keepass-relaterade appar.
I will not distribute any app that handles KeePass DB files in the future, I hope the community will find an idiot to do a free project for several hours a week.
Frank Hausmann (2023-05-22)
IOS-appen KeepassMini var, som ovannämnt, inte någon officiell Keepass-app. IOS-utvecklarens klavertramp och underliga reaktion ska därför inte ligga Keepass-projektet i fatet. I väntan på klargörande av exakt vad som har hänt rekommenderar vi att de som har använt just KeepassMini byter sina huvudlösenord.
Rekommendationer
Ingen av de två incidenterna påverkar vår rekommendation av Keepass. Observera att rekommendationen enbart gäller den officiella Keepass-appen och vidareutvecklingen KeepassXC (vilken för övrigt nyligen fick sina kärnfunktioner tredjepartsgranskade).
Varken Keepass eller KeepassXC har officiella appar för mobilen. Vi rekommenderar därför andra lösenordshanterare för användare som vill synkronisera sina lösenordsvalv med mobilen (Bitwarden eller 1password). Bitwarden, 1password och KeepassXC är också rekommenderade av oberoende och community-drivna Privacy Guides.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.