すべてのオンラインアカウントのすべてのパスワードを覚えておくのは困難です。そのため、LastPass、Dashlane、1Passwordなどのパスワードマネージャーが存在します。しかし、ユーザー名とパスワードのこれらの巨大な暗号化されたデータベースは、犯罪者の主要な標的であり、プログラムの多くは侵害に苦しんでいます。
今週、無料のパスワードマネージャー KeePass そのサイトで発表した 脆弱性が存在します そのソフトウェアでは、ハッカーは新しいKeePassソフトウェアを装って、マルウェアを含む偽のソフトウェアアップデートをユーザーに送信する可能性があります。 KeePassは、セキュアバージョンのHTTPSの代わりに、暗号化されていないハイパーテキスト転送プロトコル(HTTP)を使用します。 (HTTPとHTTPSがわからない場合は、このページのURLを参照してください。HTTPSは、インターネットブラウザとWebサイト間で送信されるデータをホストするプロトコルです。HTTPSは安全であり、各Webサイトとサーバーを認証して作成します。悪意のあるサイトが正当なサイトを装っていないことを確認してください。)
セキュリティ研究者のFlorianBogner LifeHackerに伝えます KeePassはソフトウェアの更新にHTTPを使用しているため、詐欺師は悪意のあるソフトウェアをスパイクした偽の更新を作成する可能性があります。
KeePassはそのサイトで説明しています:
バージョン情報ファイルは、KeePassのWebサイトからHTTP経由でダウンロードされます。したがって、中間者(KeePass Webサイトへの接続を傍受できる人)が誤ったバージョン情報ファイルを返し、KeePassに新しいKeePassバージョンが利用可能であるという通知を表示させる可能性があります。
KeePassは、ハッカーがマルウェアを含む偽のアップデートを送信したからといって、KeePassが自動アップデートをホストしていないため、攻撃が進行中であるとは限りません。 KeePassユーザーは、新しいバージョンを手動でダウンロードする必要があります。 KeePassによると、ユーザーはデジタル署名を確認する必要があり、マルウェアが存在する場合はダウンロードしないでください。
サル・ヴルカーノは結婚しましたか
デジタル署名を確認する方法の詳細については、以下のボグナーのビデオをご覧ください。
