At huske alle dine adgangskoder til alle dine online-konti er udfordrende, og det er derfor, der findes adgangskodeadministratorer som LastPass, Dashlane og 1Password. Men disse enorme krypterede databaser med brugernavne og adgangskoder er hovedmål for kriminelle, og mange af programmerne har lidt brud.
Denne uge, gratis adgangskodeadministrator KeePass meddelte på sin side, at der findes en sårbarhed i sin software og hackere kunne sende falske softwareopdateringer indeholdende malware til brugerne ved at udgøre sig som den nye KeePass-software. KeePass bruger ukrypteret Hypertext Transfer Protocol (HTTP) i stedet for den sikre version HTTPS. (Hvis du ikke ved, hvad HTTP og HTTPS er, skal du kigge på denne sides URL. HTTPS er den protokol, der hoster data, der sendes mellem en internetbrowser og websteder. HTTPS er sikker og godkender hvert websted og serveren, der skal oprettes. sikker på, at et ondsindet websted ikke udgør en legitim side.)
Sikkerhedsforsker Florian Bogner fortæller LifeHacker at fordi KeePass bruger HTTP til softwareopdateringer, kan skurke oprette en falsk opdatering tilsat skadelig software.
KeePass forklarer på sit websted:
Versionsinformationsfilen downloades fra KeePass-webstedet via HTTP. Således kunne en mand i midten (en person, der kan opfange din forbindelse til KeePass-webstedet) have returneret en forkert versionsinformationsfil, hvilket muligvis får KeePass til at vise en meddelelse om, at en ny KeePass-version er tilgængelig.
KeePass siger bare fordi en hacker sender dig en falsk opdatering med malware indeni betyder ikke, at angrebet er i bevægelse, fordi KeePass ikke er vært for automatiske opdateringer. KeePass-brugere skal downloade en ny version manuelt. KeePass siger, at brugere skal kontrollere den digitale signatur, og hvis malware er til stede, skal du ikke downloade den.
hvem er bonnie raitt gift med
For mere information om, hvordan du kontrollerer en digital signatur, se Bogners video nedenfor:
