Еще в феврале 2016 года исследователь Флориан Богнер (Florian Bogner) нашел уязвимость в менеджере паролей KeePass. Баг позволяет осуществить MitM-атаку на приложение, пока оно обновляется. Однако глава проекта KeePass отказался устранять баг, потому что тогда KeePass лишится доходов от рекламы, которые, видимо, важнее безопасности пользователей. В начале текущего года Богнер обнаружил, что KeePass версий 2.x содержит неприятный баг: механизм обновления программы устроен таким образом, что обращение за апдейтами к серверам KeePass осуществляется посредством HTTP. Благодаря этой особенности на KeePass можно осуществить man-in-the-middle атаку, подменив легитимный апдейт вредоносным файлом. К тому же менеджер паролей никак не верифицирует скачиваемые пакеты обновлений, что дополнительно упрощает работу злоумышленнику. Демонстрацию атаки можно увидеть в ролике ниже.
