O KeePass 2 é um gestor de passwords open-source relativamente popular, mas o seu criador está agora a ser acusado de dar prioridade aos rendimentos da publicidade em vez da segurança, que seria o aspecto fundamental que se esperaria de um programa deste tipo.
A vulnerabilidade em causa está relacionada com a forma como o programa faz a verificação da existência de actualizações, que é feito usando as vulneráveis ligações HTTP em vez de usar HTTPS. Isto permite a realização de ataques "man-in-the-middle", em que o atacante interfere com o tráfego, injectando ou modificando as comunicações, e podendo simular a existência de uma actualização do programa, substituindo-o por uma versão infectada que roubasse as passwords dos utilizadores.
A parte que torna tudo isto mais polémico é que esta falha foi relatada ao criador do projecto, mas este diz que não está previsto corrigir isso, devido aos "custos" relacionados - e onde por custos se refere à perda das receitas de publicidade caso passasse a utilizar um site HTTPS (sinceramente, não percebo porque motivo teria que acontecer isso, pois existem muitos sites HTTPS que mantêm publicidade.)
Seria pena ver um projecto popular (e bastante útil para os utilizadores) ver a sua reputação destruída por causa de algo assim... esperemos que rapidamente seja encontrada uma solução.
No imediato, a solução passa por desligar o update check automático.
ResponderEliminar