Principal Seguretat La vulnerabilitat que es troba al gestor de contrasenyes pot exposar els usuaris a pirates informàtics

La vulnerabilitat que es troba al gestor de contrasenyes pot exposar els usuaris a pirates informàtics

Recordar totes les contrasenyes de tots els vostres comptes en línia és un repte i és per això que existeixen gestors de contrasenyes com LastPass, Dashlane i 1Password. Però aquestes enormes bases de dades xifrades de noms d’usuari i contrasenyes són objectius principals per als delinqüents i molts dels programes han patit incompliments.

Aquesta setmana, gestor de contrasenyes gratuït KeePass va anunciar al seu lloc que existeix una vulnerabilitat en el seu programari i els pirates informàtics podrien enviar actualitzacions de programari falses que contenen programari maliciós als usuaris fent-se passar pel nou programari KeePass. KeePass utilitza el protocol de transferència d’hipertext sense xifrar (HTTP) en lloc de la versió segura HTTPS. (Si no sabeu què són HTTP i HTTPS, mireu l'URL d'aquesta pàgina. HTTPS és el protocol que allotja les dades enviades entre un navegador d'Internet i llocs web. HTTPS és segur i autentica cada lloc web i el servidor per fer segur que un lloc maliciós no es presenta com a legítim.)



Investigador de seguretat Florian Bogner explica LifeHacker que, com que KeePass utilitza HTTP per a actualitzacions de programari, els lladres poden crear una actualització falsa amb programari maliciós.

KeePass explica al seu lloc:

El fitxer d'informació de la versió es descarrega des del lloc web KeePass mitjançant HTTP. Per tant, un home del mig (algú que pugui interceptar la vostra connexió amb el lloc web de KeePass) podria haver retornat un fitxer d’informació de versió incorrecte, possiblement fent que KeePass mostri una notificació de que hi ha disponible una nova versió de KeePass.



KeePass diu que el fet que un pirata informàtic us enviï una actualització falsa amb programari maliciós al seu interior no vol dir que l'atac estigui en moviment perquè KeePass no allotja actualitzacions automàtiques. Els usuaris de KeePass han de descarregar manualment una nova versió. KeePass diu que els usuaris haurien de comprovar la signatura digital i, si hi ha programari maliciós, no la descarreguen.

quina altura té Paul Wall

Per obtenir més informació sobre com comprovar una signatura digital, mireu el vídeo de Bogner a continuació: