Ricordare tutte le password di tutti i tuoi account online è impegnativo ed è per questo che esistono gestori di password come LastPass, Dashlane e 1Password. Ma questi enormi database crittografati di nomi utente e password sono obiettivi primari per i criminali e molti dei programmi hanno subito violazioni.
Questa settimana, gestore di password gratuito KeePass ha annunciato sul suo sito che esiste una vulnerabilità nel suo software e gli hacker potrebbero inviare falsi aggiornamenti software contenenti malware agli utenti spacciandosi per il nuovo software KeePass. KeePass utilizza l'Hypertext Transfer Protocol (HTTP) non crittografato invece della versione sicura HTTPS. (Se non sai cosa sono HTTP e HTTPS, dai un'occhiata all'URL di questa pagina. HTTPS è il protocollo che ospita i dati inviati tra un browser Internet e i siti Web. HTTPS è sicuro e autentica ogni sito Web e il server per rendere sicuro che un sito dannoso non si spaccia per legittimo.)
Ricercatore di sicurezza Florian Bogner dice a LifeHacker che poiché KeePass utilizza HTTP per gli aggiornamenti software, i truffatori possono creare un aggiornamento falso pieno di software dannoso.
KeePass spiega sul suo sito:
Il file delle informazioni sulla versione viene scaricato dal sito Web KeePass tramite HTTP. Quindi un uomo nel mezzo (qualcuno che può intercettare la tua connessione al sito Web KeePass) potrebbe aver restituito un file di informazioni sulla versione errato, possibilmente facendo visualizzare a KeePass una notifica che è disponibile una nuova versione di KeePass.
KeePass dice che solo perché un hacker ti invia un aggiornamento falso con malware all'interno non significa che l'attacco sia in movimento perché KeePass non ospita aggiornamenti automatici. Gli utenti KeePass devono scaricare manualmente una nuova versione. KeePass dice che gli utenti dovrebbero controllare la firma digitale e se è presente malware, non scaricarlo.
quanto è alto Paul Wall
Per ulteriori informazioni su come controllare una firma digitale, guarda il video di Bogner qui sotto:
