Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 1211870

secuvera GmbH Siedlerstr.22-24 71126 Gäufelden/Stuttgart, Deutschland https://www.secuvera.de
Ansprechpartner:in Herr Tobias Glemser 07032/9758-15
Logo der Firma secuvera GmbH

Schwachstellen in populären Anwendungen entdeckt

Studie zeigt Klartextspeicherung sensibler Daten

(PresseBox) (Gäufelden/Stuttgart, )
In einer aktuellen Studie, die im Rahmen der internen Labdays von secuvera GmbH durchgeführt wurde, haben Sicherheitsexperten eine schwerwiegende Schwachstelle in verschiedenen sicherheitsrelevanten Anwendungen identifiziert. Die Untersuchung ergab, dass sensible Informationen wie Passwörter und Anmeldeinformationen auch nach dem Abmelden von Benutzern weiterhin im Klartext im Prozessspeicher verbleiben und somit für potentielle Angreifer leicht zugänglich sind.

Diese Schwachstelle, klassifiziert als CWE-316: Cleartext Storage of Sensitive Information in Memory, betrifft eine Vielzahl von Anwendungen, darunter VPN-Clients und Passwortmanager. Besonders kritisch ist die Entdeckung in Anwendungen, die explizit zum Schutz von Benutzerinformationen entwickelt wurden.

Ergebnisse der Untersuchung

Im Rahmen der Studie wurden verschiedene Anwendungen unter realistischen Bedingungen getestet. Zu den getesteten Programmen gehörten unter anderem OpenVPN, CyberGhost VPN, Mullvad, 1Password und BitWarden. Dabei wurde analysiert, ob sensible Informationen wie Passwörter und andere Anmeldeinformationen nach der Abmeldung eines Benutzers weiterhin im Prozessspeicher vorhanden waren. Ein Anbieter - bei dem besonders viele kritische Informationen auffindbar waren - verbot die Veröffentlichung des Namens oder Details.

Die Ergebnisse sind spannend: In vielen der getesteten Anwendungen wurden nach dem Abmelden immer noch Klartextdaten im Speicher gefunden, die von Malware oder einem lokalen Angreifer ausgelesen werden könnten. Besonders überraschend ist die Tatsache, dass selbst in Passwortmanagern, die eigentlich dazu dienen, Passwörter sicher zu speichern, Informationen wie Masterpasswörter und gespeicherte Passwörter im Klartext verbleiben.

Details finden Sie in unserem Blogartikel.

Reaktion der Hersteller

Die betroffenen Hersteller wurden umgehend über die Ergebnisse der Studie informiert. Während einige Hersteller, wie CyberGhost VPN, die Schwachstellen anerkannt haben und bereits Sicherheitsupdates veröffentlicht haben, blieben andere Hersteller bisher untätig oder lehnten es ab, die Schwachstellen zu beheben.

Verantwortungsvolle Offenlegung

In Übereinstimmung mit der Responsible Disclosure Policy der secuvera GmbH wurden alle Schwachstellen den Herstellern mitgeteilt, um ihnen die Möglichkeit zu geben, die Probleme zu beheben, bevor sie öffentlich gemacht werden. Für einige Produkte stehen bereits Patches zur Verfügung, während andere noch in der Entwicklung sind.

secuvera GmbH

secuvera bietet Informationssicherheitsexpertise in den drei Feldern
- Informationssicherheitsmanagementsysteme (BSI-Grundschutz/ISO 27001),
- Penetrationstests und Webanwendungsanalysen sowie
- Produktprüfungen nach Common Criteria und IEC 62443 (Industrial Security).

secuvera ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierter IT-Sicherheitsdienstleister für IS-Revision/Grundschutz und Penetrationstests, sowie BSI-Prüfstelle.

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Stories, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.