Уязвимость в системе обновления KeePass угрожает безопасности пользователей

Независимый исследователь безопасности Флориан Богнер (Florian Bogner) обнаружил уязвимость в системе автоматического обновления менеджера паролей KeePass. Эксплуатация ошибки позволяет злоумышленнику осуществить атаку «человек посередине» и обманом заставить жертву загрузить вредоносное ПО.

Уязвимости (CVE-2016-5119) подвержены все версии KeePass, в том числе 2.33. По словам Богнера, передача обновлений осуществляется по протоколу HTTP. Это позволяет атакующему применить технику ARP-подмены (ARP-spoofing) или использовать вредоносную точку доступа Wi-Fi для модификации ответа сервера. В результате жертва будет думать, что загружает официальное обновление , но на деле ее компьютер будет инфицирован вредоносным ПО.

При наличии обновления на экране компьютера появится соответствующее диалоговое окно со ссылкой, ведущей на официальный сайт KeePass. Однако входящий/исходящий трафик передается в незашифрованном виде, что позволяет злоумышленнику перехватить его, пояснил Богнер.

В подтверждение исследователь опубликовал PoC-видео с демонстрацией атаки.

Разработчикам KeePass известно о проблеме, однако они не намерены ее исправлять. По словам создателя менеджера паролей Доминика Рейкла (Dominik Reichl), косвенная стоимость перехода на использование протокола HTTPS (речь идет о потере прибыли от рекламы) поставит под угрозу существование проекта.