Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Wachtwoordenapp op iOS lekt wachtwoorden

Door: rene-schoemaker | 05 april 2013 16:49

Apple

De app Keeper Password & Data Vault voor iOS blijkt wachtwoorden in plain text op te slaan en te verzenden naar een centrale server. Het gaat om versie 5.3 van de populaire wachtwoordapp.

Keeper Password & Data Vault slaat wachtwoorden en zelfs het Master Password op in plain text. Dat zegt onderzoeker Paul Pols van Fox-IT. In de nieuwe versie, 6.0, zou dat probleem zijn verholpen, heeft de jurist van Keeper Security Inc aan Fox-IT verzekerd. Wel dreigt dat bedrijf met juridische stappen tegen Fox-IT als zij dit lek openbaar maken. Die openbaarmaking is vanmiddag gebeurd.

Keeper Password & Data Vault laat de gebruiker diverse wachtwoorden opslaan die anders mogelijk vergeten worden. Door met een Master Password te werken zou de gebruiker maar één wachtwoord moeten onthouden om vervolgens al zijn andere wachtwoorden te kunnen inzien.

Wachtwoorden in plain text verzonden

Volgens Fox-IT worden die wachtwoorden, en ook het Master Password, in plain text opgeslagen op de iPhone of iPad, maar ook in een database op keeperapp.com. De wachtwoorden worden onversleuteld verstuurd. Op het mobiele apparaat blijft eveneens onversleutelde cachegegevens staan die niet na een reboot verdwijnen.

Om de plain text te bereiken moeten aanvallers wel het betreffende iOS-device jailbreaken, zegt Fox-IT. De informatie die dan kan worden achterhaald betreft Master Password, e-mailadres, de 'geheime vraag' (voor het geval het Master Password is vergeten) alsook het antwoord op die vraag, plus alle url's en de gebruikersnamen plus wachtwoorden die daarbij horen.

App-maker reageert lauw en dreigt met stappen

Fox-IT zegt de maker van de app te hebben geïnformeerd. De Nederlanders kregen naar eigen zeggen geen constructieve reactie van Keeper en werden door dat bedrijf verwezen naar juristen. Ook wilde Keeper geen Responsible Disclosure doen. In een update van de app, die naar zeggen van de juristen het probleem zou verhelpen, wordt geen verwijzing gegeven naar het probleem in de eerdere versie van de app. “Fox-IT is tevens gemeld dat openbaring van de problemen kan worden gevolgd door juridische stappen", schrijft Fox-IT in zijn advisory.

Keeper Security is een bedrijf uit Chicago en heeft de app in tien talen en in 80 landen aangeboden via de App Store. Volgens het bedrijf heeft Keeper wereldwijd zeven miljoen gebruikers. Eerdere versies van Keeper kwamen al negatief in het nieuws door zijn MD5 passwords niet te salten, waardoor die op zich redelijke beveiliging niet voldoet.

0 Reacties op: Wachtwoordenapp op iOS lekt wachtwoorden

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.