Att komma ihåg alla dina lösenord till alla dina onlinekonton är utmanande och det är därför lösenordshanterare som LastPass, Dashlane och 1Password finns. Men dessa enorma krypterade databaser med användarnamn och lösenord är främsta mål för brottslingar och många av programmen har drabbats av brott.
Den här veckan, gratis lösenordshanterare KeePass meddelade på sin webbplats att det finns en sårbarhet i sin programvara och hackare kan skicka falska programuppdateringar som innehåller skadlig programvara till användare genom att posera som den nya KeePass-programvaran. KeePass använder okrypterat Hypertext Transfer Protocol (HTTP) istället för den säkra versionen HTTPS. (Om du inte vet vad HTTP och HTTPS är, ta en titt på sidans URL. HTTPS är protokollet som är värd för data som skickas mellan en webbläsare och webbplatser. HTTPS är säkert och autentiserar varje webbplats och servern som ska göras säker på att en skadlig webbplats inte poserar som en legitim webbplats.)
Säkerhetsforskare Florian Bogner berättar LifeHacker att eftersom KeePass använder HTTP för programuppdateringar, kan skurkar skapa en falsk uppdatering spikad med skadlig programvara.
KeePass förklarar på sin webbplats:
Versionsinformationsfilen laddas ner från KeePass-webbplatsen via HTTP. Således kunde en man i mitten (någon som kan fånga din anslutning till KeePass-webbplatsen) ha returnerat en felaktig versionsinformationsfil, vilket möjligen fick KeePass att visa ett meddelande om att en ny KeePass-version är tillgänglig.
KeePass säger bara för att en hacker skickar en falsk uppdatering med skadlig programvara inuti betyder inte att attacken är i rörelse eftersom KeePass inte är värd för automatiska uppdateringar. KeePass-användare måste ladda ner en ny version manuellt. KeePass säger att användare ska kontrollera den digitala signaturen och om skadlig kod finns, ladda inte ner den.
För mer information om hur du kontrollerar en digital signatur, se Bogners video nedan:
