Keeper password manager: για άλλη μια φορά καμιά ασφάλεια

Η εταιρεία ανάπτυξης του Keeper password βρέθηκε για άλλη μια φορά να μην ενδιαφέρεται και τόσο πολύ για την ασφάλεια. Αυτή τη φορά, χρησιμοποιούσε έναν διακομιστή που επέτρεπε σε οποιονδήποτε να έχει πρόσβαση και να αντικαταστήσει αρχεία με περιεχόμενο, σύμφωνα με ένα ερευνητή ασφάλειας.Keeper

Ο Chris Vickery, ο οποίος ανακάλυψε τον εκτεθειμένο εξυπηρετητή, ειδοποίησε άμεσα το ZDNet που προσπάθησε να επικοινωνήσει με την Keeper μέσω τηλεφώνου και ηλεκτρονικού ταχυδρομείου την Παρασκευή. Μια ώρα μετά την αποκάλυψη, ο διακομιστής είχε ασφαλιστεί.

Όμως ο διευθυντής της εταιρείας Aaron Gessner αρνήθηκε κάθε ισχυρισμό.

Η εταιρεία που εδρεύει στο Chicago διαθέτει ένα διακομιστή αποθήκευσης στο Amazon S3 για να φιλοξενεί εγκαταστάτες για τις διάφορες υποστηριζόμενες πλατφόρμες του.

Όμως ο διακομιστής δεν ήταν προστατευμένος με κωδικό πρόσβασης και έδινε πρόσβαση σε οποιονδήποτε και “πλήρη έλεγχο” στο περιεχόμενό του, (ανάγνωση, αντικατάσταση και διαγραφή αρχείων).

Πολλά από τα αρχεία περιελάμβαναν αρχεία εγκατάστασης για , Mac, Android και iPhone. Ένα αρχείο στον διακομιστή διέθετε ένα ιδιωτικό πιστοποιητικό υπογραφής που εκδόθηκε από την Apple. Το certificate μπορεί να χρησιμοποιηθεί για την υπογραφή των εφαρμογών iPhone της εταιρείας, και εκδόθηκε στην Callpod Inc., μια εταιρεία που ιδρύθηκε από τον επικεφαλής της Keeper Darren Guccione.

Φυσικά ένας εξειδικευμένος εισβολέας θα μπορούσε να αντικαταστήσει κάποιο νόμιμο πρόγραμμα εγκατάστασης iPhone ή iPad με ένα κακόβουλο αρχείο.

Να αναφέρουμε ότι η εταιρεία ανάπτυξης της εφαρμογής Keeper πρόσφατα μήνυσε τον ερευνητή ασφαλείας της Ars Technica, Dan Goodin, επειδή δημοσίευσε μια ευπάθεια που ανακάλυψε στην επέκταση του προγράμματος περιήγησης του διαχειριστή κωδικών πρόσβασης Keeper.

Παρόλο που η εταιρεία επιβεβαίωσε την ευπάθεια, κατέθεσε μήνυση για τον Goodin επειδή φέρεται να έκανε “ψευδείς και παραπλανητικές δηλώσεις για την εφαρμογή Keeper”.

Τα νέα προκάλεσαν πολλές αντιδράσεις στην κοινότητα ασφαλείας, η οποία επέκρινε την ανταπόκριση της εταιρείας. Πολλοί υψηλού επιπέδου και γνωστά στοιχεία στην κοινότητα ισχυρίστηκαν ότι μια τέτοια ενέργεια θα έχει πιθανώς άσχημα αποτελέσματα στις μελλοντικές έρευνες ασφαλείας και την αποκάλυψη ευπαθειών.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).