Tüm çevrimiçi hesaplarınızın tüm parolalarını hatırlamak zordur ve bu nedenle LastPass, Dashlane ve 1Password gibi parola yöneticileri vardır. Ancak bu devasa şifreli kullanıcı adı ve parola veritabanları, suçluların başlıca hedefleridir ve programların çoğu ihlallere maruz kalmıştır.
Bu hafta, ücretsiz şifre yöneticisi KeePass sitesinde duyurdu bir güvenlik açığı var bilgisayar korsanları, yeni KeePass yazılımı gibi davranarak kullanıcılara kötü amaçlı yazılım içeren sahte yazılım güncellemeleri gönderebilir. KeePass, güvenli HTTPS sürümü yerine şifrelenmemiş Köprü Metni Aktarım Protokolü (HTTP) kullanır. (HTTP ve HTTPS'nin ne olduğunu bilmiyorsanız, bu sayfanın URL'sine bir göz atın. HTTPS, bir İnternet tarayıcısı ile web siteleri arasında gönderilen verileri barındıran protokoldür. HTTPS güvenlidir ve her web sitesinin ve yapılacak sunucunun kimliğini doğrular. kötü niyetli bir sitenin meşru bir site gibi görünmediğinden emin olun.)
Güvenlik araştırmacısı Florian Bogner LifeHacker'a söyler KeePass yazılım güncellemeleri için HTTP kullandığından, dolandırıcılar kötü amaçlı yazılımlarla dolu sahte bir güncelleme oluşturabilir.
KeePass kendi sitesinde şöyle açıklıyor:
Sürüm bilgi dosyası, HTTP üzerinden KeePass web sitesinden indirilir. Böylece ortadaki bir adam (KeePass web sitesine olan bağlantınızı kesebilecek biri) yanlış bir sürüm bilgi dosyası döndürebilir ve muhtemelen KeePass'in yeni bir KeePass sürümünün mevcut olduğuna dair bir bildirim göstermesine neden olabilir.
KeePass, bir bilgisayar korsanının size içinde kötü amaçlı yazılım bulunan sahte bir güncelleme göndermesinin saldırının hareket halinde olduğu anlamına gelmediğini çünkü KeePass otomatik güncellemeleri barındırmadığını söylüyor. KeePass kullanıcılarının yeni bir sürümü manuel olarak indirmesi gerekir. KeePass, kullanıcıların dijital imzayı kontrol etmesi gerektiğini ve kötü amaçlı yazılım varsa indirmediğini söylüyor.
Dijital imzanın nasıl kontrol edileceği hakkında daha fazla bilgi için aşağıdaki Bogner videosunu izleyin:
