ช่องโหว่ที่พบในตัวจัดการรหัสผ่านอาจทำให้ผู้ใช้ถูกแฮ็กเกอร์ได้

การจำรหัสผ่านทั้งหมดของคุณสำหรับบัญชีออนไลน์ทั้งหมดของคุณเป็นเรื่องที่ท้าทาย และนี่คือสาเหตุที่ผู้จัดการรหัสผ่านเช่น LastPass, Dashlane และ 1Password มีอยู่ แต่ฐานข้อมูลชื่อผู้ใช้และรหัสผ่านที่มีการเข้ารหัสขนาดใหญ่เหล่านี้เป็นเป้าหมายหลักสำหรับอาชญากร และโปรแกรมจำนวนมากถูกละเมิด

สัปดาห์นี้ผู้จัดการรหัสผ่านฟรี คีพาส ประกาศบนเว็บไซต์ว่า มีความเปราะบางอยู่ ในซอฟต์แวร์และแฮกเกอร์สามารถส่งการอัปเดตซอฟต์แวร์ปลอมที่มีมัลแวร์ไปยังผู้ใช้โดยวางตัวเป็นซอฟต์แวร์ KeePass ใหม่ KeePass ใช้ Hypertext Transfer Protocol (HTTP) ที่ไม่ได้เข้ารหัสแทน HTTPS เวอร์ชันที่ปลอดภัย (หากคุณไม่ทราบว่า HTTP และ HTTPS คืออะไร ให้ดูที่ URL ของหน้านี้ HTTPS เป็นโปรโตคอลที่โฮสต์ข้อมูลที่ส่งระหว่างอินเทอร์เน็ตเบราว์เซอร์และเว็บไซต์ HTTPS มีความปลอดภัยและรับรองความถูกต้องของแต่ละเว็บไซต์และเซิร์ฟเวอร์ แน่ใจว่าไซต์ที่เป็นอันตรายไม่ได้ถูกวางตัวว่าเป็นไซต์ที่ถูกต้อง)

นักวิจัยด้านความปลอดภัย ฟลอเรียน บ็อกเนอร์ บอก LifeHacker เนื่องจาก KeePass ใช้ HTTP สำหรับการอัปเดตซอฟต์แวร์ โจรจึงสามารถสร้างการอัปเดตปลอมที่มีซอฟต์แวร์ประสงค์ร้ายได้

KeePass อธิบายบนเว็บไซต์:

ไฟล์ข้อมูลเวอร์ชันถูกดาวน์โหลดจากเว็บไซต์ KeePass ผ่าน HTTP ดังนั้นชายที่อยู่ตรงกลาง (คนที่สามารถสกัดกั้นการเชื่อมต่อของคุณไปยังเว็บไซต์ KeePass) อาจส่งคืนไฟล์ข้อมูลเวอร์ชันที่ไม่ถูกต้อง อาจทำให้ KeePass แสดงการแจ้งเตือนว่ามีเวอร์ชันใหม่ของ KeePass

KeePass กล่าวว่าเพียงเพราะแฮ็กเกอร์ส่งการอัปเดตปลอมที่มีมัลแวร์อยู่ภายใน ไม่ได้หมายความว่าการโจมตีกำลังดำเนินอยู่เนื่องจาก KeePass ไม่ได้โฮสต์การอัปเดตอัตโนมัติ ผู้ใช้ KeePass ต้องดาวน์โหลดเวอร์ชันใหม่ด้วยตนเอง KeePass กล่าวว่าผู้ใช้ควรตรวจสอบลายเซ็นดิจิทัลและหากมีมัลแวร์อยู่อย่าดาวน์โหลด