In einer aktuellen Studie, die im Rahmen der internen Labdays von secuvera GmbH durchgeführt wurde, haben Sicherheitsexperten eine schwerwiegende Schwachstelle in verschiedenen sicherheitsrelevanten Anwendungen identifiziert. Die Untersuchung ergab, dass sensible Informationen wie Passwörter und Anmeldeinformationen auch nach dem Abmelden von Benutzern weiterhin im Klartext im Prozessspeicher verbleiben und somit für potentielle Angreifer leicht zugänglich sind.

Diese Schwachstelle, klassifiziert als CWE-316: Cleartext Storage of Sensitive Information in Memory, betrifft eine Vielzahl von Anwendungen, darunter VPN-Clients und Passwortmanager. Besonders kritisch ist die Entdeckung in Anwendungen, die explizit zum Schutz von Benutzerinformationen entwickelt wurden.

Ergebnisse der Untersuchung

Im Rahmen der Studie wurden verschiedene Anwendungen unter realistischen Bedingungen getestet. Zu den getesteten Programmen gehörten unter anderem OpenVPN, CyberGhost VPN, Mullvad, 1Password und BitWarden. Dabei wurde analysiert, ob sensible Informationen wie Passwörter und andere Anmeldeinformationen nach der Abmeldung eines Benutzers weiterhin im Prozessspeicher vorhanden waren. Ein Anbieter – bei dem besonders viele kritische Informationen auffindbar waren – verbot die Veröffentlichung des Namens oder Details.

Die Ergebnisse sind spannend: In vielen der getesteten Anwendungen wurden nach dem Abmelden immer noch Klartextdaten im Speicher gefunden, die von Malware oder einem lokalen Angreifer ausgelesen werden könnten. Besonders überraschend ist die Tatsache, dass selbst in Passwortmanagern, die eigentlich dazu dienen, Passwörter sicher zu speichern, Informationen wie Masterpasswörter und gespeicherte Passwörter im Klartext verbleiben.

Details finden Sie in unserem Blogartikel.

Reaktion der Hersteller

Die betroffenen Hersteller wurden umgehend über die Ergebnisse der Studie informiert. Während einige Hersteller, wie CyberGhost VPN, die Schwachstellen anerkannt haben und bereits Sicherheitsupdates veröffentlicht haben, blieben andere Hersteller bisher untätig oder lehnten es ab, die Schwachstellen zu beheben.

Verantwortungsvolle Offenlegung

In Übereinstimmung mit der Responsible Disclosure Policy der secuvera GmbH wurden alle Schwachstellen den Herstellern mitgeteilt, um ihnen die Möglichkeit zu geben, die Probleme zu beheben, bevor sie öffentlich gemacht werden. Für einige Produkte stehen bereits Patches zur Verfügung, während andere noch in der Entwicklung sind.

Über die secuvera GmbH

secuvera bietet Informationssicherheitsexpertise in den drei Feldern
– Informationssicherheitsmanagementsysteme (BSI-Grundschutz/ISO 27001),
– Penetrationstests und Webanwendungsanalysen sowie
– Produktprüfungen nach Common Criteria und IEC 62443 (Industrial Security).

secuvera ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierter IT-Sicherheitsdienstleister für IS-Revision/Grundschutz und Penetrationstests, sowie BSI-Prüfstelle.

Firmenkontakt und Herausgeber der Meldung:

secuvera GmbH
Siedlerstr.22-24
71126 Gäufelden/Stuttgart
Telefon: +49 (7032) 9758-0
Telefax: +49 (7032) 9758-30
https://www.secuvera.de

Ansprechpartner:
Tobias Glemser
Geschäftsführer
Telefon: 07032/9758-15
E-Mail: tglemser@secuvera.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel