Pamätať si všetky svoje heslá do všetkých svojich online účtov je náročné a preto existujú správcovia hesiel ako LastPass, Dashlane a 1Password. Ale tieto obrovské šifrované databázy používateľských mien a hesiel sú hlavným cieľom zločincov a mnohé z týchto programov boli porušené.
Tento týždeň bezplatný správca hesiel KeePass oznámila na svojej stránke, že existuje zraniteľnosť v jeho softvéri a hackeri mohli používateľom posielať falošné softvérové aktualizácie obsahujúce malvér vydávaním sa za nový softvér KeePass. KeePass používa namiesto zabezpečenej verzie HTTPS nezašifrovaný protokol Hypertext Transfer Protocol (HTTP). (Ak neviete, čo sú HTTP a HTTPS, pozrite sa na adresu URL tejto stránky. HTTPS je protokol, ktorý hostí dáta odosielané medzi internetovým prehliadačom a webovými stránkami. HTTPS je bezpečný a autentifikuje každú webovú stránku a server, aby mohol uistite sa, že škodlivý web nevystupuje ako legitímny.)
Výskumník v oblasti bezpečnosti Florian Bogner povie LifeHacker že pretože KeePass používa na aktualizáciu softvéru protokol HTTP, podvodníci môžu vytvoriť falošnú aktualizáciu obohatenú o škodlivý softvér.
Spoločnosť KeePass na svojej stránke vysvetľuje:
Súbor s informáciami o verzii sa sťahuje z webovej stránky KeePass cez HTTP. Muž v strede (niekto, kto dokáže zachytiť vaše pripojenie na webovú stránku KeePass), tak mohol vrátiť nesprávny informačný súbor o verzii, čo by mohlo spôsobiť, že KeePass zobrazí upozornenie, že je k dispozícii nová verzia KeePass.
KeePass hovorí, že to, že vám hacker pošle falošnú aktualizáciu s malvérom vo vnútri, ešte neznamená, že útok je v pohybe, pretože KeePass nie je hostiteľom automatických aktualizácií. Používatelia KeePassu si musia ručne stiahnuť novú verziu. KeePass tvrdí, že používatelia by si mali skontrolovať digitálny podpis. Ak sa v nich nachádza malware, nesťahujte ho.
con quien esta casada bonnie raitt
Ďalšie informácie o tom, ako skontrolovať digitálny podpis, nájdete v Bognerovom videu nižšie: