Spominjanje vseh vaših gesel za vse vaše spletne račune je zahtevno in zato obstajajo upravitelji gesel, kot so LastPass, Dashlane in 1Password. Toda te ogromne šifrirane zbirke podatkov z uporabniškimi imeni in gesli so glavna tarča zločincev in številni programi so utrpeli kršitve.
Ta teden brezplačen upravitelj gesel KeePass je na svoji spletni strani objavil, da obstaja ranljivost v svoji programski opremi in hekerji lahko uporabnikom pošiljajo ponarejene posodobitve programske opreme, ki vsebujejo zlonamerno programsko opremo, tako da se predstavljajo kot nova programska oprema KeePass. KeePass namesto varne različice HTTPS uporablja nešifrirani protokol za prenos hiperteksta (HTTP). (Če ne veste, kaj sta HTTP in HTTPS, si oglejte URL te strani. HTTPS je protokol, ki gosti podatke, poslane med internetnim brskalnikom in spletnimi mesti. HTTPS je varen in preverja pristnost vsakega spletnega mesta in strežnika. prepričani, da se zlonamerno spletno mesto ne predstavlja kot zakonito.)
Raziskovalec varnosti Florian Bogner pove LifeHacker ker lahko KeePass za posodobitve programske opreme uporablja HTTP, prevaranti lahko ustvarijo ponarejeno posodobitev z dodatki zlonamerne programske opreme.
KeePass na svoji spletni strani pojasnjuje:
Datoteka z informacijami o različici se prenese s spletnega mesta KeePass prek protokola HTTP. Tako bi lahko človek na sredini (nekdo, ki lahko prestreže vašo povezavo s spletnim mestom KeePass) vrnil napačno datoteko z informacijami o različici, zaradi česar bi KeePass prikazal obvestilo, da je na voljo nova različica KeePass.
KeePass pravi, da samo zato, ker vam heker pošlje ponarejeno posodobitev z zlonamerno programsko opremo, še ne pomeni, da je napad v teku, ker KeePass ne gosti samodejnih posodobitev. Uporabniki KeePass morajo ročno prenesti novo različico. KeePass pravi, da bi morali uporabniki preveriti digitalni podpis in ga, če je prisotna zlonamerna programska oprema, ne prenašati.
Za več informacij o preverjanju digitalnega podpisa si oglejte Bognerjev video spodaj:
