Contact
QR code for the current URL

Story Box-ID: 1211870

secuvera GmbH Siedlerstr.22-24 71126 Gäufelden/Stuttgart, Germany https://www.secuvera.de
Contact Mr Tobias Glemser 07032/9758-15
Company logo of secuvera GmbH

Schwachstellen in populären Anwendungen entdeckt

Studie zeigt Klartextspeicherung sensibler Daten

(PresseBox) (Gäufelden/Stuttgart, )
In einer aktuellen Studie, die im Rahmen der internen Labdays von secuvera GmbH durchgeführt wurde, haben Sicherheitsexperten eine schwerwiegende Schwachstelle in verschiedenen sicherheitsrelevanten Anwendungen identifiziert. Die Untersuchung ergab, dass sensible Informationen wie Passwörter und Anmeldeinformationen auch nach dem Abmelden von Benutzern weiterhin im Klartext im Prozessspeicher verbleiben und somit für potentielle Angreifer leicht zugänglich sind.

Diese Schwachstelle, klassifiziert als CWE-316: Cleartext Storage of Sensitive Information in Memory, betrifft eine Vielzahl von Anwendungen, darunter VPN-Clients und Passwortmanager. Besonders kritisch ist die Entdeckung in Anwendungen, die explizit zum Schutz von Benutzerinformationen entwickelt wurden.

Ergebnisse der Untersuchung

Im Rahmen der Studie wurden verschiedene Anwendungen unter realistischen Bedingungen getestet. Zu den getesteten Programmen gehörten unter anderem OpenVPN, CyberGhost VPN, Mullvad, 1Password und BitWarden. Dabei wurde analysiert, ob sensible Informationen wie Passwörter und andere Anmeldeinformationen nach der Abmeldung eines Benutzers weiterhin im Prozessspeicher vorhanden waren. Ein Anbieter - bei dem besonders viele kritische Informationen auffindbar waren - verbot die Veröffentlichung des Namens oder Details.

Die Ergebnisse sind spannend: In vielen der getesteten Anwendungen wurden nach dem Abmelden immer noch Klartextdaten im Speicher gefunden, die von Malware oder einem lokalen Angreifer ausgelesen werden könnten. Besonders überraschend ist die Tatsache, dass selbst in Passwortmanagern, die eigentlich dazu dienen, Passwörter sicher zu speichern, Informationen wie Masterpasswörter und gespeicherte Passwörter im Klartext verbleiben.

Details finden Sie in unserem Blogartikel.

Reaktion der Hersteller

Die betroffenen Hersteller wurden umgehend über die Ergebnisse der Studie informiert. Während einige Hersteller, wie CyberGhost VPN, die Schwachstellen anerkannt haben und bereits Sicherheitsupdates veröffentlicht haben, blieben andere Hersteller bisher untätig oder lehnten es ab, die Schwachstellen zu beheben.

Verantwortungsvolle Offenlegung

In Übereinstimmung mit der Responsible Disclosure Policy der secuvera GmbH wurden alle Schwachstellen den Herstellern mitgeteilt, um ihnen die Möglichkeit zu geben, die Probleme zu beheben, bevor sie öffentlich gemacht werden. Für einige Produkte stehen bereits Patches zur Verfügung, während andere noch in der Entwicklung sind.

secuvera GmbH

secuvera bietet Informationssicherheitsexpertise in den drei Feldern
- Informationssicherheitsmanagementsysteme (BSI-Grundschutz/ISO 27001),
- Penetrationstests und Webanwendungsanalysen sowie
- Produktprüfungen nach Common Criteria und IEC 62443 (Industrial Security).

secuvera ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierter IT-Sicherheitsdienstleister für IS-Revision/Grundschutz und Penetrationstests, sowie BSI-Prüfstelle.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.