Keeper password manager: για άλλη μια φορά καμιά ασφάλεια

Η εταιρεία ανάπτυξης του Keeper password manager βρέθηκε για άλλη μια φορά να μην ενδιαφέρεται και τόσο πολύ για την ασφάλεια. Αυτή τη φορά, χρησιμοποιούσε έναν διακομιστή που επέτρεπε σε οποιονδήποτε να έχει πρόσβαση και να αντικαταστήσει αρχεία με κακόβουλο περιεχόμενο, σύμφωνα με ένα ερευνητή ασφάλειας.Keeper

Ο Chris Vickery, ο οποίος ανακάλυψε τον εκτεθειμένο εξυπηρετητή, ειδοποίησε άμεσα το ZDNet που προσπάθησε να επικοινωνήσει με την Keeper μέσω τηλεφώνου και ηλεκτρονικού ταχυδρομείου την Παρασκευή. Μια ώρα μετά την αποκάλυψη, ο διακομιστής είχε ασφαλιστεί.

Όμως ο διευθυντής της εταιρείας Aaron Gessner αρνήθηκε κάθε ισχυρισμό.

Η εταιρεία που εδρεύει στο Chicago διαθέτει ένα διακομιστή αποθήκευσης στο Amazon S3 για να φιλοξενεί εγκαταστάτες για τις διάφορες υποστηριζόμενες του.

Όμως ο διακομιστής δεν ήταν προστατευμένος με κωδικό πρόσβασης και έδινε πρόσβαση σε οποιονδήποτε και “πλήρη έλεγχο” στο περιεχόμενό του, (ανάγνωση, αντικατάσταση και διαγραφή ).

Πολλά από τα αρχεία περιελάμβαναν αρχεία εγκατάστασης για Windows, Mac, Android και iPhone. Ένα στον διακομιστή διέθετε ένα ιδιωτικό πιστοποιητικό υπογραφής κώδικα που εκδόθηκε από την Apple. Το certificate μπορεί να χρησιμοποιηθεί για την υπογραφή των εφαρμογών iPhone της εταιρείας, και εκδόθηκε στην Callpod Inc., μια εταιρεία που ιδρύθηκε από τον επικεφαλής της Keeper Darren Guccione.

Φυσικά ένας εξειδικευμένος εισβολέας θα μπορούσε να αντικαταστήσει κάποιο νόμιμο πρόγραμμα εγκατάστασης iPhone ή iPad με ένα κακόβουλο αρχείο.

Να αναφέρουμε ότι η εταιρεία ανάπτυξης της εφαρμογής Keeper πρόσφατα μήνυσε τον ερευνητή ασφαλείας της Ars , Dan Goodin, επειδή δημοσίευσε μια που ανακάλυψε στην επέκταση του προγράμματος περιήγησης του διαχειριστή κωδικών πρόσβασης Keeper.

Παρόλο που η εταιρεία επιβεβαίωσε την ευπάθεια, κατέθεσε μήνυση για τον Goodin επειδή φέρεται να έκανε “ψευδείς και παραπλανητικές δηλώσεις για την εφαρμογή Keeper”.

Τα νέα προκάλεσαν πολλές στην κοινότητα ασφαλείας, η οποία επέκρινε την ανταπόκριση της εταιρείας. Πολλοί υψηλού επιπέδου και γνωστά στην κοινότητα ισχυρίστηκαν ότι μια τέτοια ενέργεια θα έχει πιθανώς άσχημα αποτελέσματα στις μελλοντικές έρευνες ασφαλείας και την αποκάλυψη ευπαθειών.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).