El administrador de contraseñas KeePass tiene una vulnerabilidad man-in-the-middle que permite engañar a los usuarios para que descarguen malware disfrazado de una actualización, advirtió el investigador de seguridad Florian Bogner.

Todas las versiones de KeePass, incluyendo la última, son vulnerables. El equipo de desarrollo de software es consciente de la falla (CVE-2016-5119), pero no tienen ninguna intención de corregirla.

“Las actualizaciones automáticas de KeePass 2 utilizan HTTP para solicitar la información de la versión actual,” descubrió Bogner. “Un atacante puede modificar (a través de ARP Spoofing o proporcionando una Wifi maliciosa con Hotspot, por ejemplo) la respuesta del servidor.”

El software muestra una caja de diálogo que indica que hay una nueva versión disponible para descargar. Sin embargo no dirige a la página web oficial de KeePass, el hecho de que el tráfico de ida y vuelta no esté cifrado significa que puede ser interceptado y manipulado; resultando que el usuario descargue malware.

“La vulnerabilidad no será arreglada. El costo indirecto de cambio a HTTPS (como ingresos de publicidad perdidos) lo convierte en una solución inviable,” respondió Dominik Reichl, desarrollador de KeePass cuando Bogner les alertó del peligro.

Los usuarios pueden protegerse de este tipo de ataque descargando la nueva versión del software directamente de la página SourceForge KeePass.

Reichl también señaló que la verificación de la descarga KeePass es muy importante. “Los binarios son firmados digitalmente (Authenticode); se puede comprobar mediante el explorador de Windows en la ventana de Propiedades, en la pestaña de “firmas digitales”, señaló.