Wachtwoorden-app Keeper bewaarde informatie onversleuteld

Wachtwoorden-applicatie Keeper slaat gevoelige informatie van gebruikers op in een onversleuteld bestand, waardoor ze achterhaald kunnen worden als iemand het bestandssysteem van je iPhone binnendringt. Dit blijkt uit onderzoek van het Nederlandse securitybedrijf Fox-IT. De problemen zijn in de onlangs verschenen 6.0-versie schijnbaar opgelost, maar de ontwikkelaar weigert te communiceren over de beveiligingsrisico’s van eerdere versies van de app.

Normaal gesproken slaat Keeper de wachtwoordinformatie van gebruikers versleuteld op. Deze informatie wordt ook verstuurd naar keeperapp.com, waarbij er gebruik wordt gemaakt van TLS-/SSL-versleuteling zodat de ontvanger de data onversleuteld kan inzien. Volgens Fox-IT wordt er bij het versturen van je informatie naar de site echter een lokaal cachebestand met je data gemaakt dat niet is versleuteld. In dit bestand staan je ‘master password’, e-mailadres en je geheime vraag en het antwoord hierop. Ook al je gebruikersnamen, wachtwoorden en de sites waar deze mee zijn geassocieerd zijn toegankelijk.

Het beveiligingsprobleem is in Keeper 6.0 opgelost, maar je moet wel updaten voordat het lek voor jou is gedicht. De ontwikkelaar heeft echter niks in de App Store-omschrijving gezegd over het bestaan van het betreffende beveiligingsprobleem en de geboden oplossing hiervoor. Fox-IT zegt dat de ontwikkelaar met juridische stappen heeft gedreigd als het probleem aan het licht wordt gebracht. Er is alsnog voor gekozen om de informatie openbaar te maken, om zo bezitters van Keeper volledig te informeren.

In Keeper kun je wachtwoorden die je gebruikt op websites opslaan, zodat je ze niet allemaal hoeft te onthouden. Deze informatie kan tussen de iOS- en computerversies van Keeper worden gesynchroniseerd.

Downloaden: Keeper (gratis, in-app aankopen, iPhone, iOS 4.3+)