Keeper password manager: για άλλη μια φορά καμιά ασφάλεια

Η εταιρεία ανάπτυξης του Keeper password manager βρέθηκε για άλλη μια φορά να μην ενδιαφέρεται και τόσο πολύ για την ασφάλεια. Αυτή τη φορά, χρησιμοποιούσε έναν διακομιστή που επέτρεπε σε οποιονδήποτε να έχει πρόσβαση και να αντικαταστήσει αρχεία με κακόβουλο περιεχόμενο, σύμφωνα με ένα ερευνητή ασφάλειας.Keeper

Ο Chris Vickery, ο οποίος ανακάλυψε τον εκτεθειμένο εξυπηρετητή, ειδοποίησε άμεσα το ZDNet που προσπάθησε να επικοινωνήσει με την Keeper μέσω τηλεφώνου και ηλεκτρονικού ταχυδρομείου την Παρασκευή. Μια ώρα μετά την αποκάλυψη, ο διακομιστής είχε ασφαλιστεί.

Όμως ο διευθυντής της εταιρείας Aaron Gessner αρνήθηκε κάθε ισχυρισμό.

Η εταιρεία που εδρεύει στο Chicago διαθέτει ένα διακομιστή αποθήκευσης στο Amazon S3 για να φιλοξενεί εγκαταστάτες για τις διάφορες υποστηριζόμενες πλατφόρμες του.

Όμως ο διακομιστής δεν ήταν προστατευμένος με κωδικό πρόσβασης και έδινε πρόσβαση σε οποιονδήποτε και “πλήρη έλεγχο” στο περιεχόμενό του, (ανάγνωση, αντικατάσταση και διαγραφή αρχείων).

Πολλά από τα αρχεία περιελάμβαναν αρχεία εγκατάστασης για Windows, Mac, Android και iPhone. Ένα αρχείο στον διακομιστή διέθετε ένα ιδιωτικό πιστοποιητικό υπογραφής κώδικα που εκδόθηκε από την Apple. Το certificate μπορεί να χρησιμοποιηθεί για την υπογραφή των εφαρμογών iPhone της εταιρείας, και εκδόθηκε στην Callpod Inc., μια εταιρεία που ιδρύθηκε από τον επικεφαλής της Keeper Darren Guccione.

  Χρήστης Android; διέρρευσε πηγαίος κώδικας τραπεζικού malware

Φυσικά ένας εξειδικευμένος εισβολέας θα μπορούσε να αντικαταστήσει κάποιο νόμιμο πρόγραμμα εγκατάστασης iPhone ή iPad με ένα κακόβουλο αρχείο.

Να αναφέρουμε ότι η εταιρεία ανάπτυξης της εφαρμογής Keeper πρόσφατα μήνυσε τον ερευνητή ασφαλείας της Ars Technica, Dan Goodin, επειδή δημοσίευσε μια ευπάθεια που ανακάλυψε στην επέκταση του προγράμματος περιήγησης του διαχειριστή κωδικών πρόσβασης Keeper.

Παρόλο που η εταιρεία επιβεβαίωσε την ευπάθεια, κατέθεσε μήνυση για τον Goodin επειδή φέρεται να έκανε “ψευδείς και παραπλανητικές δηλώσεις για την εφαρμογή Keeper”.

Τα νέα προκάλεσαν πολλές αντιδράσεις στην κοινότητα ασφαλείας, η οποία επέκρινε την ανταπόκριση της εταιρείας. Πολλοί ερευνητές υψηλού επιπέδου και γνωστά στοιχεία στην κοινότητα ισχυρίστηκαν ότι μια τέτοια ενέργεια θα έχει πιθανώς άσχημα αποτελέσματα στις μελλοντικές έρευνες ασφαλείας και την αποκάλυψη ευπαθειών.

Εγγραφή στο iGuRu.gr μέσω email

Το email σας για την αποστολή κάθε νέας δημοσίευσης

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Αφήστε μια απάντηση

Your email address will not be published.

53  +    =  57

Previous Story

Ubuntu 18.04 LTS Bionic Beaver Beta 1 μόλις κυκλοφόρησε

Next Story

Samsung Galaxy S9 Microsoft Edition στο Microsoft Store