Уязвимость в системе автоматического обновления менеджера паролей KeePass выявлена независимым исследователем безопасности Флорианом Богнером. Благодаря уязвимости хакер может осуществлять атаку типа man-in-the-middle и обманным путем заставлять пользователя производить загрузку вредоносного программного обеспечения.
Уязвимость затрагивает все версии KeePass. Как утверждает Богнер, передача обновлений производится через протокол HTTP, что дает злоумышленнику возможность применять технику ARP-spoofing или пользоваться вредоносной точкой доступа Wi-Fi для внесения изменений в ответ сервера. В итоге пользователь будет считать, что идет процесс загрузки официального обновления, однако в действительности компьютер будет заражен вредоносным программным обеспечением.
При наличии установленного обновления на мониторе компьютера будет отображено диалоговое окно, содержащее ссылку, ведущую на официальный сайт KeePass. Однако, по словам Богнера, передача входящего и исходящего трафика осуществляется в незашифрованном виде, таким образом злоумышленник сможет осуществить его перехват.
Разработчики KeePass осведомлены о проблеме, но они не планируют устранять ее. Как утверждает создатель KeePass Доминик Рейкл, материальные потери от перехода на протокол HTTPS поставит существование проекта под угрозу.