18. September 2023 | 12:38 Uhr

ProtonPass: Auch nach Sperrung des Passwortspeichers verbleiben Nutzername/Passwort im Hauptspeicher

Anbei ein Leserbrief zum Thema Passwortmanager (speziell ProtonPass) und das Vorhalten des Passworts/Benutzernamens im Hauptspeicher des Rechners:

Hallo Mike,

ich habe mir in den letzten Tagen den quelloffenen Passwortmanager ProtonPass der Firma Proton angesehen. Unter anderem konnte ich feststellen, dass Benutzernamen, Passwörter etc. nach entsperren des Passwortspeichers in der Browsererweiterung, als Klartext im Memory zu finden sind.

Auch nachdem der Passwortspeicher gesperrt wurde verbleiben alle Daten im Memory.

Dieses Verhalten wurde durch mich auf Reddit kommuniziert. Daraufhin meldete sich ein Mitarbeiter der Firma Proton mit der Aussage, dass dieses Verhalten mit dem nächsten Update behoben werde. Mittlerweile sind diverse Updates gelaufen und das Verhalten ist unverändert. Darauf aufmerksam gemacht teilte mir erneut ein Mitarbeiter mit, dass dieses ein normales Verhalten bei quelloffenen Passwortmanagern sei und das Problem nicht so schwer wiege. Es sei schließlich ein „End-Game-Szenario“.

Tatsächlich ist es bei Bitwarden nicht anders.

Aber damit nicht genug. Vor kurzem wurde ProtonPass durch Cure53 einem Sicherheitsaudit unterzogen. Hier wird genau dieses Fehler unter PRO-01-004 WP3 beschrieben. Komisch ist nur das anschließend Cure53 eine neue Version vorgelegt wurde bei der dieser Fehler behoben war. Ich hatte Kontakt zu Cure53 und das konnte mir so bestätigt werden.

Durch dieses Verhalten hinterlässt ProtonPass bei mir ein unsicheres Gefühl.

Auch merkwürdig finde ich, dass man nach erstmaligen Einloggen (egal ob iOS, Android oder Browsererweiterung) nur noch einen PIN-Code zum entsperren des Passwortspeichers benötigt. Bei Bitwarden werden die einzelnen Einträge im Passwortspeicher mit einem „Symmetric Key“ entschlüsselt. Bei sperren des Passwortspeichers wird der Memory bereinigt.

Wie sich das bei ProtonPass verhält kann ich nicht sagen.

Mit freundlichen Grüßen

XY

Tja, wenn Cure53 tatsächlich eine neue Version vorgelegt wurde, die dann allerdings nicht an die Anwender ausgerollt wurde, ist das schon bedenklich. Dafür sind Penetrationstests/Security-Audits schließlich da. Fehler/Sicherheitslücke finden -> melden -> beheben.

Übrigens könnt ihr das leicht selbst nachvollziehen:

Nachdem das Add-on im Browser installiert wurde, einmal anmelden. Im Windows Task-Manager die Prozesse des Browsers ausklappen. Das können teilweise 10 oder mehr Einzelprozesse sein. Dann bei allen Prozessen mit der rechten Maustaste eine Abbilddatei erstellen und anschließend mit einem Hexeditor ansehen. Hier kann jedes Passwort oder Benutzername mit Strg + F gesucht und gefunden werden. Das funktioniert mit der Chrome- und Firefox-Variante des Add-ons (Version 1.6.1), auch wenn der Passwortspeicher gesperrt ist.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡