Główny Bezpieczeństwo Luka w zabezpieczeniach znaleziona w Menedżerze haseł może narazić użytkowników na hakerów

Luka w zabezpieczeniach znaleziona w Menedżerze haseł może narazić użytkowników na hakerów

Twój Horoskop Na Jutro

Zapamiętywanie wszystkich haseł do wszystkich kont internetowych jest trudne i dlatego istnieją menedżery haseł, takie jak LastPass, Dashlane i 1Password. Jednak te ogromne zaszyfrowane bazy danych nazw użytkowników i haseł są głównym celem przestępców, a wiele z tych programów zostało naruszonych.

W tym tygodniu darmowy menedżer haseł KeePass ogłosił na swojej stronie, że istnieje podatność w swoim oprogramowaniu, a hakerzy mogą wysyłać użytkownikom fałszywe aktualizacje oprogramowania zawierające złośliwe oprogramowanie, podszywając się pod nowe oprogramowanie KeePass. KeePass używa nieszyfrowanego protokołu przesyłania hipertekstu (HTTP) zamiast bezpiecznej wersji HTTPS. (Jeśli nie wiesz, czym są HTTP i HTTPS, spójrz na adres URL tej strony. HTTPS to protokół, który obsługuje dane przesyłane między przeglądarką internetową a witrynami internetowymi. HTTPS jest bezpieczny i uwierzytelnia każdą witrynę internetową i serwer, aby umożliwić na pewno złośliwa witryna nie udaje prawdziwej).

Badacz bezpieczeństwa Florian Bogner mówi Lifehacker że ponieważ KeePass używa protokołu HTTP do aktualizacji oprogramowania, oszuści mogą stworzyć fałszywą aktualizację wzbogaconą złośliwym oprogramowaniem.

KeePass wyjaśnia na swojej stronie:

Plik informacji o wersji jest pobierany ze strony internetowej KeePass przez HTTP. W ten sposób człowiek w środku (ktoś, kto może przechwycić twoje połączenie ze stroną KeePass) mógł zwrócić plik informacji o niepoprawnej wersji, prawdopodobnie powodując wyświetlanie przez KeePass powiadomienia, że ​​dostępna jest nowa wersja KeePass.

KeePass mówi, że to, że haker wysyła fałszywą aktualizację ze złośliwym oprogramowaniem, nie oznacza, że ​​atak jest w ruchu, ponieważ KeePass nie obsługuje automatycznych aktualizacji. Użytkownicy KeePass muszą ręcznie pobrać nową wersję. KeePass mówi, że użytkownicy powinni sprawdzić podpis cyfrowy, a jeśli obecne jest złośliwe oprogramowanie, nie należy go pobierać.

ile wart jest Malcolm Jamal Warner?

Aby uzyskać więcej informacji na temat sprawdzania podpisu cyfrowego, obejrzyj poniższy film Bognera: