Sebezhetővé vált a KeePass jelszókezelő?

​Biztonsági szakemberek a népszerű KeePass jelszókezelő alkalmazás kapcsán egy gyenge pontra hívták fel a figyelmet.
 

Manapság a jelszókezelő alkalmazásokra és szolgáltatásokra minden korábbinál fontosabb szerep hárul. Léteznek helyi adatbázisokra épülő szoftverek, illetve felhős szolgáltatások. Nyilván mindegyiknek megvan a maga előnye és hátránya, de az elmondható, hogy legyen szó bármely változatról, a mesterjelszó biztonságán áll vagy bukik minden. Ez az a jelszó, amellyel az alkalmazások, szolgáltatások által tárolt jelszavak, illetve egyéb adatok titkosítása, illetve dekódolása megtörténik. Mindez pedig a kiberbűnözők figyelmét sem kerüli el, különösen akkor nem, ha egy megoldásról kiderül, hogy annak a mesterjelszavas védelme így vagy úgy, de megkerülhető. A KeePass kapcsán biztonsági szakértők pontosan egy ilyen gyenge pontra világítottak rá.
 
A gyenge láncszem kihasználásával egy támadó elérheti azt, hogy amikor a felhasználó megadja a mester jelszavát, akkor a KeePass a háttérben, mindenféle értesítés nélkül, észrevétlen módon kiexportálja egy fájlba az összes általa tárolt hitelesítő és egyéb adatot, méghozzá titkosítatlanul. Vagyis egy olyan sima szöveges (XML-formátumú) fájlt generál le, amelyben a felhasználó minden értékes adata teljesen védtelenül megtalálható. Amennyiben ezt egy támadó megkaparintja, akkor onnantól kezdve komoly visszaéléseket követhet el.
 
Az említett támadás kihasználásához arra van szüksége az elkövetőnek, hogy legyen írási joga a KeePass megfelelő konfigurációs állományán. Ha ez adott számára, akkor abba olyan utasításokat tud elhelyezni, amik révén az automatikus adatexportálás megtörténik a következő programindítást, illetve mesterjelszó megadást követően.