Die schweizerische Firma Proton hat eine Sicherheitslücke in ihrem Passwort-Manager Proton Pass, der auf Firefox läuft. Obwohl der Passwort-Manager sich als komplett verschlüsselte Lösung präsentiert, werden Kreditkartendaten und Sicherheitscodes im Klartext gespeichert. Ein Update zur Behebung des Problems ist jedoch bereits in Arbeit.
Der deutsche Penetrationstester Mike Kuketz hat darauf hingewiesen, dass nach dem Entsperren des Passwort-Managers sämtliche Daten im Speicher des Browsers im Klartext zu finden sind – und das bleibt auch so, wenn Proton Pass gesperrt ist. Erwähnenswert ist, dass ein ähnliches Problem bereits im Juli bei einer Überprüfung von Proton Pass für Google Chrome festgestellt wurde. Dieses Problem wurde zwischenzeitlich behoben.
Forscher von Cybersecurity News haben bestätigt, dass die Chrome-Erweiterung von Proton Pass mittlerweile sicher ist. Bei Tests der Firefox-Erweiterung von Proton Pass stellten sie jedoch fest, dass die Sicherheitslücke hier noch besteht. Ein Patch soll jedoch in Kürze ausgerollt werden.
Proton hat in einer E-Mail an Cybernews bestätigt, dass diese Sicherheitslücke, die bereits in einem Audit von Cure53 identifiziert wurde, durch neue Funktionen in Proton Pass wieder eingeführt wurde. Trotz der geringen Wahrscheinlichkeit eines solchen Angriffs, bei dem ein Angreifer physischen Zugriff auf einen Browser oder Speicher benötigt, plant Proton, das Problem umgehend zu beheben. Ein Update für Proton Pass, das diesen Fehler korrigiert, soll in den nächsten Stunden veröffentlicht werden.
In einer späteren Klarstellung betonte Proton, dass Passwort-Manager grundsätzlich Daten im Speicher im unverschlüsselten Format speichern, da dies für Funktionen wie das automatische Ausfüllen von Anmeldefeldern notwendig ist. Proton betonte, dass das entdeckte Problem mit der PIN-Sperre zusammenhing, nicht mit einer fehlenden Verschlüsselung, da dies bei allen Passwort-Managern der Fall ist. Ein Angreifer, der solchen Zugriff hat, könnte bereits den PIN-Schutz umgehen.