Keeper password manager: για άλλη μια φορά καμιά ασφάλεια


Η εταιρεία ανάπτυξης του Keeper password manager βρέθηκε για άλλη μια φορά να μην ενδιαφέρεται και τόσο πολύ για την ασφάλεια. Αυτή τη φορά, χρησιμοποιούσε έναν διακομιστή που επέτρεπε σε οποιονδήποτε να έχει πρόσβαση και να αντικαταστήσει αρχεία με κακόβουλο περιεχόμενο, σύμφωνα με ένα ερευνητή ασφάλειας.Keeper

Ο Chris Vickery, ο οποίος ανακάλυψε τον εκτεθειμένο εξυπηρετητή, ειδοποίησε άμεσα το ZDNet που προσπάθησε να επικοινωνήσει με την Keeper μέσω τηλεφώνου και ηλεκτρονικού ταχυδρομείου την Παρασκευή. Μια ώρα μετά την αποκάλυψη, ο διακομιστής είχε ασφαλιστεί.

Όμως ο διευθυντής της εταιρείας Aaron Gessner αρνήθηκε κάθε ισχυρισμό.

Η εταιρεία που εδρεύει στο Chicago διαθέτει ένα διακομιστή αποθήκευσης στο Amazon S3 για να φιλοξενεί εγκαταστάτες για τις διάφορες υποστηριζόμενες πλατφόρμες του.

Όμως ο διακομιστής δεν ήταν προστατευμένος με κωδικό πρόσβασης και έδινε πρόσβαση σε οποιονδήποτε και “πλήρη έλεγχο” στο περιεχόμενό του, (ανάγνωση, αντικατάσταση και διαγραφή αρχείων).

Πολλά από τα αρχεία περιελάμβαναν αρχεία εγκατάστασης για Windows, Mac, Android και iPhone. Ένα αρχείο στον διακομιστή διέθετε ένα ιδιωτικό πιστοποιητικό υπογραφής κώδικα που εκδόθηκε από την Apple. Το certificate μπορεί να χρησιμοποιηθεί για την υπογραφή των εφαρμογών iPhone της εταιρείας, και εκδόθηκε στην Callpod Inc., μια εταιρεία που ιδρύθηκε από τον επικεφαλής της Keeper Darren Guccione.

Φυσικά ένας εξειδικευμένος εισβολέας θα μπορούσε να αντικαταστήσει κάποιο νόμιμο πρόγραμμα εγκατάστασης iPhone ή iPad με ένα κακόβουλο αρχείο.

Να αναφέρουμε ότι η εταιρεία ανάπτυξης της εφαρμογής Keeper πρόσφατα μήνυσε τον ερευνητή ασφαλείας της Ars Technica, Dan Goodin, επειδή δημοσίευσε μια ευπάθεια που ανακάλυψε στην επέκταση του προγράμματος περιήγησης του διαχειριστή κωδικών πρόσβασης Keeper.

Παρόλο που η εταιρεία επιβεβαίωσε την ευπάθεια, κατέθεσε μήνυση για τον Goodin επειδή φέρεται να έκανε “ψευδείς και παραπλανητικές δηλώσεις για την εφαρμογή Keeper”.

Τα νέα προκάλεσαν πολλές αντιδράσεις στην κοινότητα ασφαλείας, η οποία επέκρινε την ανταπόκριση της εταιρείας. Πολλοί ερευνητές υψηλού επιπέδου και γνωστά στοιχεία στην κοινότητα ισχυρίστηκαν ότι μια τέτοια ενέργεια θα έχει πιθανώς άσχημα αποτελέσματα στις μελλοντικές έρευνες ασφαλείας και την αποκάλυψη ευπαθειών.

Εγγραφή στο iGuRu.gr μέσω Email

Εισάγετε το email σας για εγγραφή στην υπηρεσία αποστολής ειδοποιήσεων μέσω email για νέες δημοσιεύσεις.


Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news