ה מנהלי הסיסמאות הטובים ביותר נועדו לשמור על בטיחות ומאובטחת כל פרטי כרטיס האשראי שלך, אך נקודת תורפה חדשה הפכה את המשתמשים במנהל הסיסמאות של KeePass בסיכון רציני להפרה.
למעשה, הניצול מאפשר לתוקף לגנוב את סיסמת האב של משתמש KeePass בטקסט רגיל - במילים אחרות, בצורה לא מוצפנת - פשוט על ידי חילוץ שלה מזיכרון מחשב היעד. זוהי פריצה פשוטה להפליא, אך כזו שיכולה להיות בעלת השלכות מדאיגות.
מנהלי סיסמאות כמו KeePass נועלים את כל פרטי ההתחברות שלך כדי לשמור עליהם בטוחים, וכל הנתונים האלה חתומים מאחורי סיסמת אב. אתה מזין את סיסמת האב שלך כדי לגשת לכל מה המאוחסן בכספת שלך, מה שהופך אותה למטרה חשובה עבור האקרים.
קָשׁוּר
- ניצול קריטי זה יכול לאפשר להאקרים לעקוף את ההגנות של ה-Mac שלך
- הסיסמאות המביכות האלה גרמו לסלבריטאים לפרוץ
- גוגל פשוט הפכה את כלי האבטחה החיוני הזה של Gmail בחינם לחלוטין
כפי שדווח על ידי מחשב מצמרר, הפגיעות של KeePass התגלתה על ידי חוקר האבטחה 'vdohney', שפרסם כלי הוכחת מושג (PoC) ב-GitHub. כלי זה מסוגל לחלץ כמעט את כל סיסמת האב (למעט התו הראשון או שניים) בצורה קריא, לא מוצפן. זה יכול אפילו לעשות זאת אם KeePass נעול, ואולי, אם האפליקציה סגורה לחלוטין.
סרטונים מומלצים
הסיבה לכך היא שהוא מחלץ את סיסמת האב מהזיכרון של KeePass. כפי שמסביר החוקר, ניתן להשיג זאת במגוון דרכים: "לא משנה היכן הזיכרון מגיע - יכול להיות תהליך dump, קובץ החלפה (pagefile.sys), קובץ שינה (hiberfil.sys) אוֹ RAM מזבלה של כל המערכת."
הניצול קיים הודות לקוד מותאם אישית מסוים שבו KeePass משתמש. כאשר אתה מזין את סיסמת האב שלך, אתה עושה זאת בתיבה מותאמת אישית בשם SecureTextBoxEx. למרות השם, מסתבר שהקופסה הזו כן לא כל כך בטוח אחרי הכל, מכיוון שכל תו שהוקלד בתיבה בעצם משאיר עותק שנשאר של עצמו במערכת זיכרון. אלו הדמויות השרידים שהכלי PoC מוצא ומחלץ.
תיקון מגיע
האזהרה היחידה לפרצת האבטחה הזו היא שהיא דורשת גישה פיזית למכונה שממנה יש לחלץ את סיסמת האב. אבל זו לא בהכרח תמיד בעיה - כפי שראינו ב סאגת ניצול LastPass, האקרים יכולים לקבל גישה למחשב של יעד באמצעות אפליקציות גישה מרחוק פגיעות המותקנות במחשב.
אם מחשב יעד היה נגוע בתוכנה זדונית, ניתן להגדיר אותו לשפוך את הזיכרון של KeePass ולשלוח גם אותו וגם את מסד הנתונים של האפליקציה חזרה לשרת של ההאקר עצמו, מה שמאפשר לשחקן האיום לחלץ את סיסמת האב בעצמם זְמַן.
למרבה המזל, המפתח של KeePass אומר שתיקון מגיע, כאשר אחת התרופות האפשריות היא הכנסת טקסט דמה אקראי לזיכרון האפליקציה שיערפל את הסיסמה. התיקון לא צפוי להשתחרר עד יוני או יולי 2023, מה שעלול להיות המתנה כואבת לכל מי שחושש מהדלפת סיסמת האב שלו. עם זאת, המפתח שחרר גם גרסת בטא של התיקון, אותה ניתן להוריד מאתר KeePass.
הפגיעות רק מראה שאפילו אפליקציות לכאורה מאובטחות כמו מנהלי סיסמאות עלולות להיפרץ, וזו לא הפעם הראשונה שחולשה רצינית נמצא ב-KeePass. אם אתה רוצה לשמור על עצמך מפני איומים מקוונים כמו הניצול האחרון הזה, הימנע מהורדה אפליקציות או פתיחת קבצים משולחים לא ידועים, התרחקו מאתרים מפוקפקים והשתמשו באנטי וירוס אפליקציה. וכמובן, לעולם אל תשתף את הסיסמה הראשית של מנהל הסיסמאות שלך עם אף אחד.
המלצות עורכים
- התקפות כופר עלו באופן מסיבי. הנה איך לשמור על בטיחות
- האם ChatGPT יוצר סיוט אבטחת סייבר? שאלנו את המומחים
- האקרים משתמשים בטריק חדש וערמומי כדי להדביק את המכשירים שלך
- לא, 1Password לא נפרץ - הנה מה שבאמת קרה
- פגם Bing זה מאפשר להאקרים לשנות תוצאות חיפוש ולגנוב את הקבצים שלך
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
