Proton Pass
Proton Pass
Bildquelle: Proton AG

Proton Pass: Login-Daten liegen unverschlüsselt im Hauptspeicher

Der Karlsruher Penetrationstester Mike Kuketz hat auf seinem Blog auf eine üble Verhaltensweise des Passwortmanagers Proton Pass hingewiesen.

Seit Ende Juli diesen Jahres ist der Passwortmanager Proton Pass für die Allgemeinheit käuflich. Betreiber ist die Proton AG, die auch hinter Proton Drive, Proton Mail und Proton VPN steckt. Die Kernfunktionen werden kostenlos angeboten, ansonsten muss man dafür bezahlen. Die Software gibt es als Erweiterung für verschiedene Browser als auch für die mobilen Betriebssysteme Android und iOS.

Proton Pass: Login-Daten unverschlüsselt im Arbeitsspeicher

Der IT-Sicherheitsberater Mike Kuketz hat heute auf einen eklatanten Schwachpunkt hingewiesen. Benutzername und Passwort werden nämlich als Klartext im Arbeitsspeicher abgelegt. Doch auch sofern der Passwortspeicher gesperrt ist, verbleiben die Login-Daten unverschlüsselt dort. Kuketz kontaktierte die Proton AG. Man teilte ihm mit, dieses Verhalten werde man bei einem der nächsten Updates von Proton Pass abstellen. Doch das ist nicht geschehen.

Bei der erneuten Anfrage hieß es, diese Vorgehensweise sei bei Open Source Passwortmanagern quasi normal. Die Problematik wiege doch gar nicht so schwer. Es sei schließlich ein „End-Game-Szenario“. Tatsächlich speichert der Konkurrent Bitwarden die Daten auf die gleiche Weise ab.

Andere Version getestet beim Sicherheitsaudit?

Beim kürzlichen Sicherheitsaudit durch Cure53 bemängelt man anfangs dieses Verhalten unter dem Namen PRO-01-004 WP3. Später tauchte diese Fehlermeldung merkwürdigerweise nicht mehr auf. Kuketz geht davon aus, die Berliner Firma Cure53 habe für den Test eine noch unveröffentlichte Version von Proton Pass erhalten, die die Proton AG aber noch nicht an die Anwender ausgerollt hat.

Wer möchte, kann selbst überprüfen, ob seine Zugangsdaten frei zugänglich im Arbeitsspeicher liegen. Das geht laut Mike Kuketz recht einfach:

„Nachdem das Add-on im Browser installiert wurde, einmal anmelden. Im Windows Task-Manager die Prozesse des Browsers ausklappen. Das können teilweise 10 oder mehr Einzelprozesse sein. Dann bei allen Prozessen mit der rechten Maustaste eine Abbilddatei erstellen und anschließend mit einem Hexeditor ansehen. Hier kann jedes Passwort oder Benutzername mit Strg + F gesucht und gefunden werden. Das funktioniert mit der Chrome- und Firefox-Variante des Add-ons (Version 1.6.1), auch wenn der Passwortspeicher gesperrt ist.“

Anschließend kann man sich von der Vorgehensweise von Proton Pass selbst ein Urteil bilden. Gerade beim Thema Passwortmanager geht es doch um Sicherheit, dafür zahlen die Nutzer ja schließlich. Was meint ihr, findet ihr das okay? Hinterlasst uns eure Meinung bitte in unserem Forum.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.