פגיעות שנמצאת במנהל הסיסמאות יכולה לחשוף משתמשים בפני האקרים

לזכור את כל הסיסמאות לכל חשבונות המקוונים שלך מאתגר ולכן מנהלי סיסמאות כמו LastPass, Dashlane ו- 1Password קיימים. אך מאגרי המידע המוצפנים הענקיים הללו של שמות משתמש וסיסמאות הם יעדים עיקריים לפושעים ורבים מהתוכניות סבלו מהפרות.

השבוע, מנהל סיסמאות בחינם KeePass הודיעה באתר שלה כי קיימת פגיעות בתוכנה שלה והאקרים יכולים לשלוח עדכוני תוכנה מזויפים המכילים תוכנות זדוניות למשתמשים על ידי התחזות לתוכנת KeePass החדשה. KeePass משתמש בפרוטוקול HyperText Transfer (HTTP) לא מוצפן במקום בגרסת HTTPS המאובטחת. (אם אינך יודע מה הם HTTP ו- HTTPS, עיין בכתובת ה- URL של דף זה. HTTPS הוא הפרוטוקול שמארח נתונים שנשלחים בין דפדפן אינטרנט לאתרים. HTTPS מאובטח ומאמת את כל האתר ואת השרת לייצור. בטוח שאתר זדוני אינו מתחזה לאתר לגיטימי.)

חוקר האבטחה פלוריאן בוגנר אומר LifeHacker מכיוון ש- KeePass משתמש ב- HTTP לעדכוני תוכנה, נוכלים יכולים ליצור עדכון מזויף המשופע בתוכנה זדונית.

KeePass מסביר באתר שלה:

קובץ פרטי הגרסה מוריד מאתר KeePass דרך HTTP. לפיכך איש באמצע (מישהו שיכול ליירט את החיבור שלך לאתר KeePass) יכול היה להחזיר קובץ פרטי גרסה שגוי, ואולי לגרום ל- KeePass להציג הודעה כי קיימת גרסת KeePass חדשה.

KeePass אומר שרק בגלל שהאקר שולח לך עדכון מזויף עם תוכנות זדוניות בפנים זה לא אומר שההתקפה נמצאת בתנועה מכיוון ש- KeePass לא מארח עדכונים אוטומטיים. משתמשי KeePass צריכים להוריד ידנית גרסה חדשה. KeePass אומר שמשתמשים צריכים לבדוק את החתימה הדיגיטלית ואם קיימת תוכנה זדונית, אל תורידו אותה.