Update: Der Hersteller des Passwort-Managers Keeper, der einige Tage lang zusammen mit Windows 10 in einer Version mit einer Sicherheitslücke ausgeliefert wurde, geht nun juristisch gegen den Journalisten Dan Goodin vor. Goodin hatte bei Ars Technica über das Problem mit der Browser-Erweiterung von Keeper berichtet, so wie viele andere Medien auch. Keeper Security wirft Ars Technica und Goodin nun vor, die Produkte des Unternehmens zerstören zu wollen und die Wahrheit missachtet zu haben.
Als Begründung nennt die Klageschrift unter anderem, dass die Nutzer die Browser-Erweiterung installieren, sich dann bei Keeper anmelden und dann den Passwort-Manager auch verwenden müssen, damit das Problem überhaupt auftritt. Mit dieser Begründung ließen sich allerdings alle Sicherheitslücken verharmlosen, denn natürlich müssen Nutzer eine Software erst einmal verwenden, damit sie von dem Problem überhaupt betroffen sein können. Das Vorgehen gegen Goodin wird laut ZDNet von vielen Sicherheitsexperten als Schikane bezeichnet, die höchstens das Ansehen von Keeper Security beschädigt.
Forscher entdeckt 16 Monate alten Bug
Laut einem Bericht von Ars Technica wurden verschiedene Versionen von Windows 10 acht Tage lang mit dem Passwort-Manager »Keeper« ausgeliefert. Letzterer hatte allerdings eine Sicherheitslücke, die in dieser Form schon vor längerer Zeit entdeckt worden war und es Webseiten ermöglicht, die Passwörter der Nutzer auszulesen und zu stehlen.
Entdeckt wurde das Problem von dem für Google Project Zero arbeitenden Sicherheitsforscher Tavis Ormandy, der ein neues System installiert und dafür eine Windows-10-Version verwendete, die direkt aus dem Microsoft Developer Netzwerk stammte.
Als er die mitinstallierte und von ihm ungewollte Keeper-App testete, fand der genau den Fehler, den er schon vor 16 Monaten in der normalen App des Passwort-Managers entdeckt hatte, wenn auch mit leichten Veränderungen. Ormandy hat auch den neuen Fehler an die Entwickler von Keeper gemeldet.
Grund für die Installation bleibt unklar
Betroffen ist anscheinend nur die mitgelieferte Version 11 und nur 24 Stunden nach der Information wurde Keeper 11.4 veröffentlicht. Damit aus dem Fehler tatsächlich ein Sicherheitsproblem werden konnte, hätten die Nutzer aber nicht nur Keeper starten und Passwörter darin speichern müssen, sondern auch den Aufforderungen zur Installation des Browser-Plugins Folge leisten müssen.
Trotzdem stellt sich die Frage, wieso Microsoft überhaupt die App in Windows 10 integriert hat und wieso dann der Fehler in der mitgelieferten Version übersehen wurde. Microsoft ist laut Ars Technica auf diese Fragen nicht wirklich eingegangen und hat nur erklärt, dass man die Berichte über die Third-Party-App kenne und der Entwickler Updates bereitstelle, um die Kunden zu schützen. Warum Keeper überhaupt einigen Nutzern aufgezwungen wurde, ist nicht klar.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.