Proton verhelpt Authenticator-bug waardoor TOTP secrets werden gelogd
Proton heeft een bug in de recent gelanceerde Authenticator-app verholpen waardoor TOTP secrets lokaal werden gelogd. Het probleem deed zich voor bij de iOS-versie en is verholpen in versie 1.1.1, zo heeft Proton laten weten. Proton Authenticator laat gebruikers codes voor tweefactorauthenticatie (2FA) genereren. Twee dagen geleden verscheen op Reddit een posting dat Proton Authenticator TOTP secrets in plaintext logde.
Time-based one-time password (TOTP) secrets worden gebruikt voor het genereren van 2FA-codes. Een aanvaller die over een secret beschikt kan daarmee nieuwe geldige 2FA-codes genereren. De posting van de Reddit-gebruiker werd door een moderator verwijderd omdat die te specifiek over een bedrijf of product ging. Volgens Bleeping Computer liep de Reddit-gebruiker tegen een probleem met de Authenticator-app aan en wilde vervolgens de logbestanden als onderdeel van een bugmelding naar Proton sturen. In voorbereiding van zijn bugmelding bekeek de gebruiker zijn logbestanden en zag daarin allerlei plaintext TOTP-secrets.
In een reactie op Reddit bedankt Proton de gebruiker voor het melden van het probleem. Het bedrijf spreekt van een misser in de iOS-app, die geen secrets had moeten loggen. Proton voegt toe dat secrets nooit in plaintext naar de servers van het bedrijf worden gestuurd. De Authenticator-app biedt gebruikers wel de mogelijkheid om hun secrets over meerdere apparaten te synchroniseren. Dit gebeurt altijd door middel van end-to-end encryptie, stelt Proton, dat toevoegt dat logbestanden alleen lokaal worden opgeslagen en niet verstuurd.
"En deze secrets kunnen ook op je apparaat worden geëxporteerd om aan dataportabiliteitseisen van de AVG te voldoen. In andere woorden, zelfs als dit niet in de logs stond, had iemand met toegang tot je apparaat om deze logs te kunnen stelen, nog steeds deze secrets kunnen verkrijgen. De encryptie van Proton biedt geen bescherming tegen gecompromitteerde apparaten, dus je moet altijd je apparaat beveiligen", aldus het overige deel van de reactie van Proton. De Authenticator-app is beschikbaar voor Android, iOS, Linux, macOS en Windows.
Maar op dit moment worden ook de (automatische) backups die gemaakt worden NIET versleuteld door Proton Authenticator. In mijn optiek is dit een rush release geweest waarin essentiële features, zoals versleutelde backups / exports, ontbreken.
Tegelijk is het positief dat Proton snel en transparant heeft gereageerd, de fout publiekelijk heeft erkend, en de bug in versie 1.1.1 heeft verholpen. De nuance die het bedrijf aanbrengt – dat logs lokaal blijven, niet naar servers worden verstuurd, en dat TOTP-secrets sowieso exporteerbaar zijn – klopt technisch gezien, maar verandert niets aan het feit dat het loggen van secrets in plaintext in strijd is met de beveiligingsprincipes die je mag verwachten van een 2FA-app.
De verwijdering van de Reddit-post door een moderator is ook een opvallend element. Het illustreert hoe kwetsbaarheden in open platforms soms ondersneeuwen in moderatiebeleid, terwijl ze in werkelijkheid juist publiek debat en transparantie verdienen.
De opmerking dat encryptie "geen bescherming biedt tegen gecompromitteerde apparaten" is technisch juist, maar voelt in deze context wat als een afleidingsmanoeuvre: het loggen van secrets is immers een fout van de app, niet van de gebruiker of diens apparaatbeveiliging. Het is terecht dat Proton dit probleem niet wegpraat, maar het had sterker gestaan als de oorzaak en de toekomstige preventie daarvan explicieter benoemd waren.
In de kern blijft het een zorgwekkende herinnering aan hoe belangrijk het is dat ook beveiligingsapps zelf onderworpen worden aan rigoureuze code-audits – zeker wanneer ze nieuwe functionaliteit introduceren zoals cross-device synchronisatie.
Deze heeft daarnaast ook geen trackers ingebouwd en heeft de minimale hoeveelheid apprechten.
Proton authenticator verzend crash reports, dus waarschijnlijk ook de gevoelige logs via internet in plain text. (Zie trackers "Sentry" bij de volgende link)
https://reports.exodus-privacy.eu.org/nl/reports/proton.android.authenticator/latest/
In veel apps zitten trackers, en ze leveren ook data uit aan overheden als daron wordt gevraagd, in sommige gevallen zelfs journalisten en whistleblowers.
Proton zou ik eerder zien als een "semi-veilig" bedrijf. (Beter dan bijv. Meta, Google, maar minder veilig dan veel andere (FLOSS) alternatieven.
Wel hebben ze een transparantierapport waarin men kan zien hoeveel overheidsbevelen ze hebben aangenomen.
Kortom; Proton is niet geschikt voor journalisten, dissidenten, demonstranten en whistleblowers.
Wel is ze geschikt voor de gemiddelde gebruiker, die kan er voordeel uit halen ten opzichte van bijv. Gmail e.d.
Deze heeft daarnaast ook geen trackers ingebouwd en heeft de minimale hoeveelheid apprechten.
Proton authenticator verzend crash reports, dus waarschijnlijk ook de gevoelige logs via internet in plain text. (Zie trackers "Sentry" bij de volgende link)
https://reports.exodus-privacy.eu.org/nl/reports/proton.android.authenticator/latest/
Hartstikke leuk, maar alleen op hun privacy policy knap ik volledig af.
Er staan 3 regels... dat is GEEN policy.
Deze heeft daarnaast ook geen trackers ingebouwd en heeft de minimale hoeveelheid apprechten.
Proton authenticator verzend crash reports, dus waarschijnlijk ook de gevoelige logs via internet in plain text. (Zie trackers "Sentry" bij de volgende link)
https://reports.exodus-privacy.eu.org/nl/reports/proton.android.authenticator/latest/
Hartstikke leuk, maar alleen op hun privacy policy knap ik volledig af.
Er staan 3 regels... dat is GEEN policy.
https://getaegis.app/privacy/
Vertaald privacybeleid;
"Privacybeleid
Aegis Authenticator verzamelt geen gegevens van uw apparaat.
Cameratoegang wordt alleen gebruikt voor het scannen van QR-codes.
Als u denkt dat dit beleid is geschonden, laat het ons dan weten."
Voor de rest is de broncode transparant (open source) en is hun licentie vrij. (GPL3.0)
Ze kunnen ook niks verzamelen aangezien de app geen internet-toestemmingsfunctie heeft ingebouwd.
Deze heeft daarnaast ook geen trackers ingebouwd en heeft de minimale hoeveelheid apprechten.
Proton authenticator verzend crash reports, dus waarschijnlijk ook de gevoelige logs via internet in plain text. (Zie trackers "Sentry" bij de volgende link)
https://reports.exodus-privacy.eu.org/nl/reports/proton.android.authenticator/latest/
Hartstikke leuk, maar alleen op hun privacy policy knap ik volledig af.
Er staan 3 regels... dat is GEEN policy.
Daarnaast kunnen ze niets verzamelen aangezien het een offline app is, er valt dus bijzonder weinig te zeggen in de privacy policy.
Het is juist goed dat mensen daarnaast geen terms hoeven ondertekenen aangezien ze zelf de software bezitten.
Bij proprietaire (commerciele) software ondertekent men de terms en nemen ze de software in bruikleen. (Huren/lenen) En dan onder strenge voorwaarden, ze hebben dan zelf geen beschikking over hun privacy en software.
Het mooie aan Aegis is dat het juist zo simpel en effectief is, daarnaast kan men de backups die men in-app kan aanmaken en als versleuteld bestand opslaan.
Deze heeft daarnaast ook geen trackers ingebouwd en heeft de minimale hoeveelheid apprechten.
Proton authenticator verzend crash reports, dus waarschijnlijk ook de gevoelige logs via internet in plain text. (Zie trackers "Sentry" bij de volgende link)
https://reports.exodus-privacy.eu.org/nl/reports/proton.android.authenticator/latest/
Hartstikke leuk, maar alleen op hun privacy policy knap ik volledig af.
Er staan 3 regels... dat is GEEN policy.
Het hoeft heus geen handboek te zijn, al zijn mensen dat gewend van bedrijven zoals Meta waar ze allemaal duistere zaakjes in verbergen.
Maar als er iets niet aan klopt horen we het graag van u
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?