Спомнянето на всичките ви пароли за всичките ви онлайн акаунти е предизвикателство и ето защо съществуват мениджъри на пароли като LastPass, Dashlane и 1Password. Но тези огромни криптирани бази данни с потребителски имена и пароли са основна цел за престъпниците и много от програмите са претърпели нарушения.
Тази седмица безплатен мениджър на пароли KeePass обяви на своя сайт, че съществува уязвимост в своя софтуер и хакерите могат да изпращат на потребителите фалшиви актуализации на софтуер, съдържащи злонамерен софтуер, представяйки се за новия софтуер KeePass. KeePass използва некриптиран протокол за прехвърляне на хипертекст (HTTP) вместо защитената версия HTTPS. (Ако не знаете какво са HTTP и HTTPS, погледнете URL адреса на тази страница. HTTPS е протоколът, който хоства данни, изпращани между интернет браузър и уебсайтове. HTTPS е защитен и удостоверява всеки уебсайт и сървър, за да направи уверете се, че злонамерен сайт не се представя за легитимен.)
Изследовател по сигурността Флориан Богнер казва LifeHacker че тъй като KeePass използва HTTP за актуализации на софтуера, мошениците могат да създадат фалшива актуализация, добавена със злонамерен софтуер.
KeePass обяснява на своя сайт:
Файлът с информация за версията се изтегля от уебсайта на KeePass през HTTP. По този начин човек в средата (някой, който може да прихване връзката ви с уебсайта на KeePass) би могъл да върне неправилен файл с информация за версията, евентуално да накара KeePass да показва известие, че е налична нова версия на KeePass.
KeePass казва, че само защото хакер ви изпраща фалшива актуализация със злонамерен софтуер вътре, не означава, че атаката е в движение, защото KeePass не хоства автоматични актуализации. Потребителите на KeePass трябва ръчно да изтеглят нова версия. KeePass казва, че потребителите трябва да проверят цифровия подпис и ако има злонамерен софтуер, не го изтегляйте.
на колко години ще е по-грубо
За повече информация как да проверите цифров подпис, вижте видеото на Bogner по-долу:
