Разработчиците на мениджъра на пароли KeePass отказаха да коригират уязвимостта
Xakep #241. Хакване на игри
В началото на тази година Bogner откри, че KeePass версии 2.x съдържа неприятна грешка: механизмът за актуализиране на програмата е проектиран по такъв начин, че заявките за актуализации на сървърите на KeePass се правят чрез HTTP. Благодарение на тази функция, KeePass може да извърши атака "човек по средата", като замени легитимна актуализация със злонамерен файл. В допълнение, мениджърът на пароли не проверява изтеглените пакети за актуализация по никакъв начин, което допълнително опростява работата на нападателя. Демонстрация на атаката може да видите във видеото по-долу.
Рейчъл прие бурята от критики учудващо спокойно. Той заяви, че няма да промени решението си относно поддръжката на HTTPS, но каза, че за борба с проблема са добавени цифрови подписи към KeePass за пакети за актуализация, които мениджърът ще провери, преди да започне да работи с актуализацията.
„Вярно е, сайтът KeePass не поддържа HTTPS в момента. Преместването на файлове за актуализиране към сайт с активиран HTTPS е безполезно, ако самият сайт на KeePass все още работи с HTTP. Използването на HTTPS има смисъл само в двата случая. За съжаление HTTPS в момента не е възможен поради редица причини, но аз следя този проблем и разбира се ще преминем към HTTPS, когато е възможно. Много по-важно е да проверите какво изтегляте (бих препоръчал да направите това, независимо откъде изтегляте KeePass). Двоичните файлове са цифрово подписани (Authenticode), те могат да бъдат проверени чрез Windows Explorer, като отидете на Properties и отворите раздела Digital Signatures ”, пише Рейчъл на Sourceforge.
Въпреки че ръководителят на KeePass обеща да мигрира към HTTPS в бъдеще, досега експертите препоръчват да се използва проверка на пакета за актуализиране или дори по-добре -изтеглете ръчно актуализации за мениджъра на пароли от официалния уебсайт.