„PASSWORD MANAGER“ APTIKTAS PAŽEIDŽIAMUMAS GALI ATSKLEISTI VARTOTOJUS ĮSILAUŽĖLIAIS

Prisiminti visus slaptažodžius visose internetinėse paskyrose yra sudėtinga, todėl egzistuoja tokie slaptažodžių valdytojai kaip „LastPass“, „Dashlane“ ir „1Password“. Tačiau šios didžiulės užšifruotos naudotojų vardų ir slaptažodžių duomenų bazės yra pagrindinis nusikaltėlių taikinys ir daugelis programų patyrė pažeidimų.

Šią savaitę nemokama slaptažodžių tvarkyklė „KeePass“ savo svetainėje paskelbė, kad yra pažeidžiamumas savo programinėje įrangoje, o įsilaužėliai galėjo nusiųsti vartotojams suklastotus programinės įrangos atnaujinimus, kuriuose yra kenkėjiškų programų, apsimetę nauja „KeePass“ programine įranga. „KeePass“ vietoj saugios HTTPS versijos naudoja nešifruotą „Hypertext Transfer Protocol“ (HTTP). (Jei nežinote, kas yra HTTP ir HTTPS, pažiūrėkite į šio puslapio URL. HTTPS yra protokolas, kuriame talpinami duomenys, siunčiami iš interneto naršyklės ir svetainių. HTTPS yra saugus ir autentifikuoja kiekvieną svetainę ir serverį įsitikinęs, kad kenkėjiška svetainė nėra teisėta.)

Saugumo tyrinėtojas Florianas Bogneris pasakoja „LifeHacker“ Kadangi „KeePass“ naudoja HTTP programinės įrangos atnaujinimams, sukčiai gali sukurti netikrą atnaujinimą, pridėtą kenkėjiškos programinės įrangos.

„KeePass“ savo svetainėje paaiškina:

Informacijos apie failą failas atsisiunčiamas iš „KeePass“ svetainės per HTTP. Taigi viduryje esantis vyras (kažkas, kas gali perimti jūsų ryšį su „KeePass“ svetaine) galėjo grąžinti neteisingą versijos informacijos failą, galėdamas priversti „KeePass“ rodyti pranešimą, kad yra nauja „KeePass“ versija.

„KeePass“ sako, kad įsilaužėlis siunčia padirbtą naujinį su kenkėjiškomis programomis, dar nereiškia, kad ataka vyksta, nes „KeePass“ nepriima automatinių naujinimų. „KeePass“ vartotojai turi rankiniu būdu atsisiųsti naują versiją. „KeePass“ teigia, kad vartotojai turėtų patikrinti skaitmeninį parašą, o jei yra kenkėjiškų programų, jų neatsisiųskite.