Wachtwoordenapp op iOS lekt wachtwoorden

© CIDimport

Wachtwoordenapp op iOS lekt wachtwoorden

Geplaatst: 5 april 2013 - 12:49

Aangepast: 16 november 2022 - 10:05

Redactie ID.nl

De app Keeper Password & Data Vault voor iOS blijkt wachtwoorden in plain text op te slaan en te verzenden naar een centrale server. Het gaat om versie 5.3 van de populaire wachtwoordapp.

Keeper Password & Data Vault slaat wachtwoorden en zelfs het Master Password op in plain text. Dat zegt onderzoeker Paul Pols van Fox-IT. In de nieuwe versie, 6.0, zou dat probleem zijn verholpen, heeft de jurist van Keeper Security Inc aan Fox-IT verzekerd. Wel dreigt dat bedrijf met juridische stappen tegen Fox-IT als zij dit lek openbaar maken. Die openbaarmaking is vanmiddag gebeurd.

Keeper Password & Data Vault laat de gebruiker diverse wachtwoorden opslaan die anders mogelijk vergeten worden. Door met een Master Password te werken zou de gebruiker maar één wachtwoord moeten onthouden om vervolgens al zijn andere wachtwoorden te kunnen inzien.

Wachtwoorden in plain text verzonden

Volgens Fox-IT worden die wachtwoorden, en ook het Master Password, in plain text opgeslagen op de iPhone of iPad, maar ook in een database op keeperapp.com. De wachtwoorden worden onversleuteld verstuurd. Op het mobiele apparaat blijft eveneens onversleutelde cachegegevens staan die niet na een reboot verdwijnen.

Om de plain text te bereiken moeten aanvallers wel het betreffende iOS-device jailbreaken, zegt Fox-IT. De informatie die dan kan worden achterhaald betreft Master Password, e-mailadres, de 'geheime vraag' (voor het geval het Master Password is vergeten) alsook het antwoord op die vraag, plus alle url's en de gebruikersnamen plus wachtwoorden die daarbij horen.

App-maker reageert lauw en dreigt met stappen

Fox-IT zegt de maker van de app te hebben geïnformeerd. De Nederlanders kregen naar eigen zeggen geen constructieve reactie van Keeper en werden door dat bedrijf verwezen naar juristen. Ook wilde Keeper geen Responsible Disclosure doen. In een update van de app, die naar zeggen van de juristen het probleem zou verhelpen, wordt geen verwijzing gegeven naar het probleem in de eerdere versie van de app. “Fox-IT is tevens gemeld dat openbaring van de problemen kan worden gevolgd door juridische stappen", schrijft Fox-IT in zijn advisory.

Keeper Security is een bedrijf uit Chicago en heeft de app in tien talen en in 80 landen aangeboden via de App Store. Volgens het bedrijf heeft Keeper wereldwijd zeven miljoen gebruikers. Eerdere versies van Keeper kwamen al negatief in het nieuws door zijn MD5 passwords niet te salten, waardoor die op zich redelijke beveiliging niet voldoet.

Deel dit artikel
Voeg toe aan favorieten