Kõigi oma paroolide meelde jätmine kõigile oma veebikontodele on keeruline ja seetõttu on olemas paroolihaldurid nagu LastPass, Dashlane ja 1Password. Kuid need tohutud krüpteeritud kasutajanimede ja paroolide andmebaasid on kurjategijate peamised sihtmärgid ja paljud programmid on rikkumisi kannatanud.
Sel nädalal tasuta paroolihaldur KeePass teatas oma saidil, et haavatavus on olemas oma tarkvaras ja häkkerid saaksid kasutajatele pahavara sisaldavaid võltsitud tarkvarauuendusi saata, esitledes uue KeePassi tarkvarana. KeePass kasutab HTTPS-i turvalise versiooni asemel krüptimata hüpertekstiedastusprotokolli (HTTP). (Kui te ei tea, mis on HTTP ja HTTPS, vaadake selle lehe URL-i. HTTPS on protokoll, mis majutab Interneti-brauseri ja veebisaitide vahel saadetud andmeid. HTTPS on turvaline ja autentib iga veebisaidi ja serveri, mida teha kindel, et pahatahtlikku saiti ei esitata õigustatud saidina.)
Turvauurija Florian Bogner räägib LifeHacker et kuna KeePass kasutab tarkvarauuenduste jaoks HTTP-d, saavad kelmid luua võltsitud värskenduse, millele on lisatud pahatahtlikku tarkvara.
KeePass selgitab oma saidil:
Versiooniteabe fail laaditakse KeePassi veebisaidilt alla HTTP kaudu. Seega võis keskel olev mees (keegi, kes suudab teie ühendust KeePassi veebisaidiga pealtkuulata) tagastada vale versiooni teabefaili, pannes KeePassi kuvama teate uue KeePassi versiooni kättesaadavuse kohta.
KeePass ütleb, et see, et häkker saadab teile võltsitud värskenduse koos pahavaraga, ei tähenda, et rünnak oleks liikvel, kuna KeePass ei halda automaatseid värskendusi. KeePassi kasutajad peavad uue versiooni käsitsi alla laadima. KeePass ütleb, et kasutajad peaksid kontrollima digitaalallkirja ja kui pahavara on olemas, ärge seda alla laadige.
kus Jonas Bridges elab
Digitaalallkirja kontrollimise kohta lisateabe saamiseks vaadake Bogneri videot allpool:
