Prisjećanje svih lozinki za sve vaše mrežne račune je izazovno i zato postoje upravitelji lozinki poput LastPass, Dashlane i 1Password. Ali ove ogromne šifrirane baze podataka korisničkih imena i lozinki glavna su meta kriminalaca i mnogi su programi pretrpjeli kršenja.
Ovaj tjedan, besplatni upravitelj lozinki KeePass objavio na svojoj stranici da postoji ranjivost u svom softveru i hakeri bi mogli korisnicima slati lažna ažuriranja softvera koja sadrže malware predstavljajući se kao novi KeePass softver. KeePass koristi nešifrirani protokol za prijenos hiperteksta (HTTP) umjesto sigurne verzije HTTPS. (Ako ne znate što su HTTP i HTTPS, pogledajte URL ove stranice. HTTPS je protokol koji hostira podatke koji se šalju između internetskog preglednika i web mjesta. HTTPS je siguran i provjerava autentičnost svake web stranice i poslužitelja za stvaranje siguran da se zlonamjerna web lokacija ne predstavlja kao legitimna.)
Istraživač sigurnosti Florian Bogner kaže LifeHackeru da, budući da KeePass koristi HTTP za ažuriranje softvera, prevaranti mogu stvoriti lažno ažuriranje obogaćeno zlonamjernim softverom.
KeePass na svojoj web stranici objašnjava:
Datoteka s informacijama o verziji preuzima se s web mjesta KeePass putem HTTP-a. Stoga je čovjek u sredini (netko tko može presresti vašu vezu s web mjestom KeePass) mogao vratiti netočnu datoteku s informacijama o verziji, što bi moglo učiniti da KeePass prikaže obavijest da je dostupna nova verzija KeePass.
KeePass kaže da samo zato što vam haker pošalje lažno ažuriranje sa zlonamjernim softverom ne znači da je napad u pokretu jer KeePass ne hostira automatska ažuriranja. Korisnici KeePass-a moraju ručno preuzeti novu verziju. KeePass kaže da bi korisnici trebali provjeriti digitalni potpis i ako je prisutan zlonamjerni softver, nemojte ga preuzimati.
koliko je visok Nick Young
Za više informacija o tome kako provjeriti digitalni potpis, pogledajte Bognerov video u nastavku:
