Passwortmanager: Keeper erfindet "potenzielle" Sicherheitslücken

Ein Problem in der Browser-Extension des eigenen Passwortmanagers ist für den Hersteller Keeper nur eine "potentielle" Sicherheitslücke - ein Begriff, der so nicht existiert. Sicherheitsforscher haben außerdem ein neues Problem bei Keeper Security entdeckt.

Artikel veröffentlicht am ,
Keeper will Dan Goodin weiter verklagen.
Keeper will Dan Goodin weiter verklagen. (Bild: Keeper Security)

Keeper, der Hersteller des Passwortmanagers Keeper Security, hat vor Gericht eine kreative Lösung entwickelt, um gegen unliebsame journalistische Berichterstattung vorzugehen. Das Unternehmen verklagte im vergangenen Jahr den Journalisten Dan Goodin, nachdem dieser über eine Sicherheitslücke berichtet hatte, die der Google-Sicherheitsforscher Tavis Ormandy gefunden hatte.

Stellenmarkt
  1. (Junior) Mathematiker / Aktuar / Analyst (m/w/d) Actuarial Function Non-Life Calculation Unit
    Generali Deutschland AG, Köln
  2. (Junior) Ethical Hacker / Penetration Tester (m/w/d)
    AKKA, Leipzig,Magdeburg (39104)
Detailsuche

Keeper behauptet in vom Sicherheitsforscher Jake Williams gefundenen Gerichtsunterlagen, es habe sich nur um eine "potentielle Sicherheitslücke" gehandelt und nicht um ein tatsächliches Problem. Goodin und ein Anwalt hatten beantragt, die Klage abzuweisen ('motion to dismiss'), Keeper fordert die Ablehnung des Antrages. Williams führt aus, dass man bei Sicherheitslücken zwar darüber diskutieren könne, ob und inwiefern sie sich von einem Angreifer ausnutzen lassen, nicht aber über die Frage, ob es sich um eine Sicherheitslücke handele oder nicht.

Das Unternehmen hatte dem Journalisten "rücksichtslose Missachtung der Wahrheit" vorgeworfen. Goodin habe die Produkte des Herstellers und das Unternehmen Keeper "zerstören" wollen. Das Unternehmen geht außerdem gegen die Behauptung vor, dass eine Sicherheitslücke in dem Passwortmanager selbst existiert habe - nur eine Browsererweiterung sei betroffen gewesen. Tatsächlich werden Nutzer bei der Installation aber aufgefordert, die Erweiterung zu installieren, schrieb Ormandy damals.

Angeblich Codesigning-Zertifikat veröffentlicht

Unterdessen berichtet das Portal ZDnet, dass es bei Keeper Security ein weiteres Sicherheitsproblem gegeben haben soll. Der für das Auffinden von Datenlecks und ungesicherten AWS-Instanzen bekannte Chris Vickery habe einen ungesichertes S3-Bucket des Unternehmens gefunden und dort neben älteren Installationsdateien des Passwortmanagers auch ein Codesigning-Zertifikat entdeckt, mit dem iOS- und MacOS-Versionen der Programme signiert werden können.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

Keeper hatte den Zugang nach kurzer Zeit abgesichert, widerspricht aber einigen Behauptungen von Vickery. So sei es nicht möglich gewesen, Inhalte auf dem Bucket ohne Authentifizierung abzulegen. Auch ein Zertifikat soll dort nicht enthalten gewesen sein. Die anders lautenden Screenshots erklärt Keeper indes nicht. Das Unternehmen will nach Angaben von ZDnet aber weitere Untersuchungen zu dem Problem anstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Mobiles Betriebssystem
iOS 15 mit Focus, OCR und schickem Facetime

Apple hat iOS 15 für iPhones und den iPod Touch vorgestellt. Radikale Neuerungen sind nicht dabei, dafür aber einige interessante Funktionen.

Mobiles Betriebssystem: iOS 15 mit Focus, OCR und schickem Facetime
Artikel
  1. Windows 11: Geplante Obsoleszenz ist schlecht, Microsoft!
    Windows 11
    Geplante Obsoleszenz ist schlecht, Microsoft!

    Kunden ärgern sich darüber, dass ihre vier Jahre alten Prozessoren bereits kein Windows 11 mehr unterstützen. Zu Recht.
    Ein IMHO von Oliver Nickel

  2. Apple Watch: watchOS 8 mit Achtsamkeits-Funktion und Porträt-Zifferblatt
    Apple Watch
    watchOS 8 mit Achtsamkeits-Funktion und Porträt-Zifferblatt

    Apple hat für die Apple Watch mit watchOS 8 ein neues Betriebssystem vorgestellt, das neue Zugriffs-, Konnektivitäts- und Achtsamkeitsfunktionen auf die Smartwatch bringt.

  3. Diablo 2 Resurrected: Entwickler äußern sich zu Blizzard-Boykott
    Diablo 2 Resurrected
    Entwickler äußern sich zu Blizzard-Boykott

    Für viele Spieler wäre Diablo 2 Resurrected ein Pflichtkauf. Blizzard soll aber nicht unterstützt werden. Das sagen Entwickler zum Dilemma.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM-Prospekt (u. a. Asus Gaming-Notebook 17" RTX 3050 1.099€) • PCGH-PC mit Ryzen 5 3600 & RTX 3060 999€ • Samsung 970 Evo Plus 1TB 99€ • Saturn Hits 2021 (u. a. Philips 55" OLED 120Hz 1.849€) • Corsair RGB 16GB Kit 3600MHz 87,90€ • Dualsense Schwarz + Deathloop 99,99€ [Werbung]
    •  /