Pamatovat si všechna svá hesla ke všem svým online účtům je náročné a proto existují správci hesel jako LastPass, Dashlane a 1Password. Ale tyto obrovské šifrované databáze uživatelských jmen a hesel jsou hlavním cílem zločinců a mnoho programů bylo porušeno.
Tento týden bezplatný správce hesel KeePass oznámila na svém webu, že existuje zranitelnost ve svém softwaru a hackeři mohli uživatelům posílat falešné aktualizace softwaru obsahující malware tím, že se vydávali za nový software KeePass. KeePass používá nešifrovaný protokol Hypertext Transfer Protocol (HTTP) namísto zabezpečené verze HTTPS. (Pokud nevíte, co jsou HTTP a HTTPS, podívejte se na adresu URL této stránky. HTTPS je protokol, který hostí data odesílaná mezi internetovým prohlížečem a webovými stránkami. HTTPS je bezpečný a ověřuje každý web a server, aby ujistěte se, že škodlivý web nepředstavuje legitimní web.)
Výzkumník bezpečnosti Florian Bogner říká LifeHacker že protože KeePass používá k aktualizaci softwaru protokol HTTP, podvodníci mohou vytvořit falešnou aktualizaci obohacenou o škodlivý software.
KeePass na svém webu vysvětluje:
Informační soubor o verzi se stáhne z webu KeePass přes HTTP. Muž uprostřed (někdo, kdo může zachytit vaše připojení k webu KeePass), tedy mohl vrátit nesprávný soubor s informacemi o verzi, což by mohlo způsobit, že KeePass zobrazí oznámení, že je k dispozici nová verze KeePass.
KeePass říká, že jen proto, že vám hacker pošle falešnou aktualizaci s malwarem uvnitř, neznamená, že útok je v pohybu, protože KeePass neorganizuje automatické aktualizace. Uživatelé KeePass musí ručně stáhnout novou verzi. KeePass říká, že uživatelé by měli zkontrolovat digitální podpis a pokud je přítomný malware, nestahujte jej.
kolik stojí malcolm jamal alerter
Další informace o tom, jak zkontrolovat digitální podpis, najdete ve videu Bognera níže:
