Der Karlsruher Penetrationstester Mike Kuketz hat auf seinem Blog auf eine üble Verhaltensweise des Passwortmanagers Proton Pass hingewiesen.
Seit Ende Juli diesen Jahres ist der Passwortmanager Proton Pass für die Allgemeinheit käuflich. Betreiber ist die Proton AG, die auch hinter Proton Drive, Proton Mail und Proton VPN steckt. Die Kernfunktionen werden kostenlos angeboten, ansonsten muss man dafür bezahlen. Die Software gibt es als Erweiterung für verschiedene Browser als auch für die mobilen Betriebssysteme Android und iOS.
Proton Pass: Login-Daten unverschlüsselt im Arbeitsspeicher
Der IT-Sicherheitsberater Mike Kuketz hat heute auf einen eklatanten Schwachpunkt hingewiesen. Benutzername und Passwort werden nämlich als Klartext im Arbeitsspeicher abgelegt. Doch auch sofern der Passwortspeicher gesperrt ist, verbleiben die Login-Daten unverschlüsselt dort. Kuketz kontaktierte die Proton AG. Man teilte ihm mit, dieses Verhalten werde man bei einem der nächsten Updates von Proton Pass abstellen. Doch das ist nicht geschehen.
Bei der erneuten Anfrage hieß es, diese Vorgehensweise sei bei Open Source Passwortmanagern quasi normal. Die Problematik wiege doch gar nicht so schwer. Es sei schließlich ein „End-Game-Szenario“. Tatsächlich speichert der Konkurrent Bitwarden die Daten auf die gleiche Weise ab.
Andere Version getestet beim Sicherheitsaudit?
Beim kürzlichen Sicherheitsaudit durch Cure53 bemängelt man anfangs dieses Verhalten unter dem Namen PRO-01-004 WP3. Später tauchte diese Fehlermeldung merkwürdigerweise nicht mehr auf. Kuketz geht davon aus, die Berliner Firma Cure53 habe für den Test eine noch unveröffentlichte Version von Proton Pass erhalten, die die Proton AG aber noch nicht an die Anwender ausgerollt hat.
Wer möchte, kann selbst überprüfen, ob seine Zugangsdaten frei zugänglich im Arbeitsspeicher liegen. Das geht laut Mike Kuketz recht einfach:
„Nachdem das Add-on im Browser installiert wurde, einmal anmelden. Im Windows Task-Manager die Prozesse des Browsers ausklappen. Das können teilweise 10 oder mehr Einzelprozesse sein. Dann bei allen Prozessen mit der rechten Maustaste eine Abbilddatei erstellen und anschließend mit einem Hexeditor ansehen. Hier kann jedes Passwort oder Benutzername mit Strg + F gesucht und gefunden werden. Das funktioniert mit der Chrome- und Firefox-Variante des Add-ons (Version 1.6.1), auch wenn der Passwortspeicher gesperrt ist.“
Anschließend kann man sich von der Vorgehensweise von Proton Pass selbst ein Urteil bilden. Gerade beim Thema Passwortmanager geht es doch um Sicherheit, dafür zahlen die Nutzer ja schließlich. Was meint ihr, findet ihr das okay? Hinterlasst uns eure Meinung bitte in unserem Forum.
