يمكن أن تعرض الثغرة الموجودة في إدارة كلمات المرور المستخدمين إلى المتسللين

يعد تذكر جميع كلمات المرور الخاصة بك لجميع حساباتك عبر الإنترنت أمرًا صعبًا وهذا هو سبب وجود مديري كلمات المرور مثل LastPass و Dashlane و 1Password. لكن قواعد البيانات الضخمة المشفرة لأسماء المستخدمين وكلمات المرور هي أهداف رئيسية للمجرمين وقد تعرضت العديد من البرامج للانتهاكات.

هذا الأسبوع ، مدير كلمات المرور المجاني KeePass أعلن على موقعه أن وجود ثغرة أمنية في برامجه ويمكن للمخترقين إرسال تحديثات برامج مزيفة تحتوي على برامج ضارة للمستخدمين من خلال التظاهر ببرنامج KeePass الجديد. يستخدم KeePass بروتوكول نقل النص التشعبي غير المشفر (HTTP) بدلاً من HTTPS للإصدار الآمن. (إذا كنت لا تعرف ما هي HTTP و HTTPS ، فقم بإلقاء نظرة على عنوان URL لهذه الصفحة. HTTPS هو البروتوكول الذي يستضيف البيانات المرسلة بين مستعرض الإنترنت ومواقع الويب. HTTPS آمن ويصادق على كل موقع ويب والخادم المطلوب إجراؤه تأكد من أن الموقع الضار لا يتظاهر بأنه موقع شرعي.)

الباحث الأمني فلوريان بوجنر يقول LifeHacker لأنه نظرًا لأن KeePass يستخدم بروتوكول HTTP لتحديثات البرامج ، يمكن للمحتالين إنشاء تحديث مزيف مصحوب ببرامج ضارة.

يوضح KeePass على موقعه:

يتم تنزيل ملف معلومات الإصدار من موقع ويب KeePass عبر HTTP. وبالتالي ، يمكن لرجل في المنتصف (شخص يمكنه اعتراض اتصالك بموقع KeePass) أن يعيد ملف معلومات إصدار غير صحيح ، وربما يجعل KeePass يعرض إشعارًا بأن إصدارًا جديدًا من KeePass متاح.

يقول KeePass إن مجرد إرسال أحد المتطفلين لتحديث مزيف بداخله برامج ضارة لا يعني أن الهجوم قيد الحركة لأن KeePass لا يستضيف تحديثات تلقائية. يتعين على مستخدمي KeePass تنزيل إصدار جديد يدويًا. يقول KeePass إنه يجب على المستخدمين التحقق من التوقيع الرقمي وإذا كانت البرامج الضارة موجودة ، فلا تقم بتنزيلها.