Passwort-Manager “Keeper” in Windows 10 verrät Passwörter

Martin Schindler,

Keeper hat das Leck inzwischen behoben. In aktuelleren Windows-10-Versionen allerdings scheint ‘Keeper’ bereits vorinstalliert zu sein.

Tavis Ormandy, Sicherheitsforscher von Google, hat nun aber eine schwerwiegende Sicherheitsleck in der Passwortverwaltung Keeper entdeckt und erste Details veröffentlicht. Wird ein Nutzer auf eine manipulierte Seite gelockt, können sämtliche gespeicherten Passwörter abfließen. Inzwischen liegt für diese Drittanbieter App ein Patch vor. Keeper ist kostenlose für Windows 10 verfügbar und wird inzwischen zusammen mit Windows 10 ausgeliefert. Vermutlich wurde zwischen Microsoft und Keeper eine Art Abkommen geschlossen.

Der inzwischen mit Windows-10 gebundelte Passwort-Manager Keeper verrät Passwörter. (Bild: Project Zero, Google)
Der inzwischen mit Windows-10 gebundelte Passwort-Manager Keeper verrät Passwörter. (Bild: Project Zero, Google)

Laut eigenen Angaben hatte Keeper die Schwachstelle innerhalb von 24 Stunden behoben und die Browser-Erweiterungen für Edge, Chrome und Firefox wurden bereits automatisch aktualisiert.

Für Apples Safari müssen Anwender Keeper-Erweiterung für Safari können das Update auf Keeper Version 11.4.4 manuell durchführen. Der Hersteller streicht heraus, dass bislang keine Fälle bekannt wurden, bei denen diese Sicherheitslücke ausgenutzt wurden.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

zum Webinar »

Damit dieses Leck ausgenutzt werden kann, muss ein Keeper-User mit aktivierter Browser-Erweiterung auf eine bösartige Webseite gelockt werde. Hier wird der Nutzer dann wird über Clickjacking oder das Zwischenschalten eines bösartigen Codes, ein privilegierter Code innerhalb der App ausgeführt. Das führt dann dazu, dass die gespeicherten Passwörter ausgegeben werden.

“Wie auch immer: das ist eine vollständiger Ausfall der Sicherheit von Keeper, der es jeder beliebigen Webseite erlaubt, jedes Passwort zu stehlen”, kommentiert Omandi. Der Sicherheitsforscher erklärt, dass er im aktuellen Fall jedoch keine neue Lücke sieht. Vielmehr handle es sich um ein altbekanntes Leck, das er bereits im August des vergangenen Jahres beschrieben hatte. Um das aktuelle Leck aufzuspüren hatte Omandi die gleichen Selektoren und Abfragen genutzt. Ein Demo seiner Entdeckung zeigt Omandi hier.