Schwachstelle bei Proton Pass: Login-Daten unverschlüsselt im Hauptspeicher

Der Passwortmanager Proton Pass der seit Ende Juli für die Allgemeinheit erhältlich ist, weist eine schwerwiegende Sicherheitslücke auf die von dem Karlsruher Penetrationstester Mike Kuketz entdeckt wurde. Proton Pass wird von der Proton AG betrieben » die ebenfalls hinter Proton Drive « Proton Mail und Proton VPN steht. Die Grundfunktionen des Passwortmanagers werden kostenlos angeboten, während für erweiterte Funktionen bezahlt werden muss. Die Software ist als Browser-Erweiterung und auch als App für Android und iOS verfügbar.



Unverschlüsselte Speicherung im Arbeitsspeicher


Mike Kuketz hat darauf hingewiesen. Dass Benutzername und Passwort bei Proton Pass unverschlüsselt im Arbeitsspeicher abgelegt werden. Sogar wenn der Passwortmanager gesperrt ist, bleiben die Login-Daten unverschlüsselt im Speicher erhalten. Kuketz informierte die Proton AG über dieses Problem die ihm mitteilte, dass dieses Verhalten in einem der nächsten Updates behoben werden solle. Bisher ist dies jedoch nicht geschehen.



Laut Anfrage bei der Proton AG sei dieses Vorgehen bei Open-Source-Passwortmanagern normal und die Problematik nicht so schwerwiegend. Es handele sich angeblich um ein "End-Game-Szenario". Tatsächlich speichert auch der Konkurrent Bitwarden die Daten auf die gleiche Weise ab.



Fehlermeldung verschwunden


Beim kürzlich durchgeführten Sicherheitsaudit durch Cure53 wurde anfangs das genannte Verhalten unter dem Namen PRO-01-004 WP3 beanstandet. Merkwürdigerweise tauchte diese Fehlermeldung später nicht weiterhin auf. Kuketz vermutet · dass Cure53 für den Test eine noch nicht veröffentlichte Version von Proton Pass erhalten hat · die jedoch noch nicht für die Anwender zur Verfügung steht.



Selbsttest möglich


Um zu überprüfen, ob die eigenen Zugangsdaten im Arbeitsspeicher frei zugänglich sind, gibt Mike Kuketz eine einfache Anleitung: Nach der Installation der Proton Pass-Erweiterung im Browser muss man sich einmal anmelden. Im Windows Task-Manager werden dann die Prozesse des Browsers aufgeklappt. Hierbei können mehrere einzelne Prozesse angezeigt werden. Für alle Prozesse wird mit der rechten Maustaste eine Abbilddatei erstellt und anschließend mit einem Hexeditor geöffnet. Mithilfe der Suchfunktion (Strg + F) können dann Passwörter und Benutzernamen gefunden werden. Dies funktioniert sowie bei der Chrome- als auch bei der Firefox-Version der Erweiterung (Version 1․6․1), obwohl der Passwortmanager gesperrt ist.



Eigene Meinung bilden


Anschließend können sich Nutzer selbst ein Bild von der Funktionsweise von Proton Pass machen. Gerade bei einem Passwortmanager geht es schließlich um Sicherheit, für die welche Nutzer bezahlen. Was denken Sie? Finden Sie dieses Verhalten in Ordnung? Teilen Sie uns Ihre Meinung in unserem Forum mit.






Kommentare


Anzeige