Ovaj veliki exploit upravitelja lozinki možda se nikada neće popraviti

Bilo je nekoliko loših mjeseci za upravitelje lozinki — iako uglavnom samo za LastPass. Ali nakon otkrića koja je imao LastPass pretrpio veliku povredu, pažnja se sada usmjerava na open-source upravitelj KeePass.

Kruže optužbe da nova ranjivost omogućuje hakerima da potajno ukradu čitavu korisničku bazu podataka zaporki u nekriptiranom otvorenom tekstu. To je nevjerojatno ozbiljna tvrdnja, ali programeri KeePassa to osporavaju.

KeePass je open-source upravitelj lozinki koji svoj sadržaj pohranjuje na korisnikov uređaj, a ne u oblaku poput konkurentskih ponuda. Međutim, poput mnogih drugih aplikacija, njegov trezor zaporki može se zaštititi glavnom zaporkom.

Ranjivost, prijavljena kao CVE-2023-24055, dostupan je svakome s pristupom pisanja u sustav korisnika. Nakon što se to dobije, akter prijetnje može dodati naredbe u KeePass XML konfiguracijsku datoteku koja automatski izvesti bazu podataka aplikacije — uključujući sva korisnička imena i zaporke — u nekriptiranu obična tekstualna datoteka.

Zahvaljujući promjenama napravljenim u XML datoteci, sav se proces odvija automatski u pozadini, tako da korisnici nisu upozoreni da je njihova baza podataka izvezena. Akter prijetnje zatim može izdvojiti izvezenu bazu podataka na računalo ili poslužitelj koji kontrolira.

Neće se popraviti

Međutim, programeri KeePassa osporili su klasifikaciju procesa kao ranjivosti, budući da bilo tko tko ima pristup uređaju za pisanje, može doći do baze podataka zaporki pomoću različitih (ponekad jednostavnijih) metode.

Drugim riječima, nakon što netko ima pristup vašem uređaju, ova vrsta iskorištavanja XML-a je nepotrebna. Napadači bi mogli instalirati keylogger kako bi dobili glavnu lozinku, na primjer. Rezoniranje je da je zabrinutost zbog ove vrste napada poput zatvaranja vrata nakon što je konj pobjegao. Ako napadač ima pristup vašem računalu, popravljanje XML exploita neće pomoći.

Rješenje je, tvrde programeri, “održavanje okruženja sigurnim (upotrebom antivirusnog softvera, vatrozida, ne otvaranja nepoznatih privitaka e-pošte, itd.). KeePass ne može magično raditi sigurno u nesigurnom okruženju.”

Što možeš učiniti?

Iako se čini da programeri KeePassa nisu voljni riješiti problem, postoje koraci koje možete sami poduzeti. Najbolje što možete učiniti je stvoriti prinudna konfiguracijska datoteka. Ovo će imati prednost nad ostalim konfiguracijskim datotekama, ublažavajući sve zlonamjerne promjene koje su napravile vanjske sile (kao što je ona korištena u ranjivosti izvoza baze podataka).

Također ćete se morati pobrinuti da obični korisnici nemaju pristup za pisanje važnih datoteka ili mapa koje se nalaze unutar KeePass direktorija, te da su i KeePass .exe datoteka i forsirana konfiguracijska datoteka u istoj mapa.

A ako se ne osjećate ugodno nastaviti koristiti KeePass, postoji mnogo drugih opcija. Pokušajte se prebaciti na jedan od najbolji upravitelji lozinkama kako bi vaše prijave i podaci o kreditnoj kartici bili sigurniji nego ikad.

Iako je ovo nedvojbeno lošija vijest za svijet upravitelja lozinkama, ove se aplikacije još uvijek isplati koristiti. Oni vam mogu pomoći u stvaranju jake, jedinstvene lozinke koji su šifrirani na svim vašim uređajima. To je daleko sigurnije od koristeći "123456" za svaki račun.

Preporuke urednika

• Ova kritična eksploatacija mogla bi omogućiti hakerima da zaobiđu obranu vašeg Maca
• Hakeri su možda ukrali glavni ključ drugog upravitelja lozinki
• Ne, 1Password nije hakiran - evo što se stvarno dogodilo
• Ako koristite ovaj besplatni upravitelj zaporki, vaše bi zaporke mogle biti ugrožene
• LastPass otkriva kako je hakiran - i to nisu dobre vijesti

Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.