ハッカーは別のパスワード マネージャーのマスター キーを持っている可能性があります

最高のパスワードマネージャー すべてのログイン情報とクレジット カード情報を安全に保つことを目的としていますが、新たな重大な脆弱性により、KeePass パスワード マネージャーのユーザーは侵害される重大な危険にさらされています。

実際、このエクスプロイトを利用すると、攻撃者はターゲット コンピュータのメモリから単純に KeePass ユーザーのマスター パスワードを抽出するだけで、平文、つまり暗号化されていない形式でマスター パスワードを盗むことができます。 これは非常に単純なハッキングですが、憂慮すべき影響をもたらす可能性があります。

KeePass パスワード マネージャー アプリからユーザーのマスター パスワードを抽出するために使用されるアプリ。
セキュリティ研究者「vdohney」によって発見された KeePass マスター パスワードの脆弱性。抽出されたマスター パスワード (最初の 2 文字を除く) が「結合」行の最後に表示されます。ピーピーコンピュータ

KeePass のようなパスワード マネージャーは、すべてのログイン情報をロックして安全に保ち、そのデータはすべてマスター パスワードの背後に封印されます。 保管庫に保存されているものすべてにアクセスするにはマスター パスワードを入力するため、保管庫はハッカーにとって貴重な標的になります。

関連している

  • この重大なエクスプロイトにより、ハッカーが Mac の防御を回避できる可能性があります
  • これらの恥ずかしいパスワードが有名人をハッキングした
  • Google はこの重要な Gmail セキュリティ ツールを完全に無料にしました

報告によると ピーピーコンピュータKeePass の脆弱性は、GitHub で概念実証 (PoC) ツールを公開したセキュリティ研究者の「vdohney」によって発見されました。 このツールは、マスター パスワードのほぼ全体 (最初の 1 ~ 2 文字を除く) を、読み取り可能な暗号化されていない形式で抽出できます。 KeePass がロックされている場合や、場合によってはアプリが完全に閉じられている場合でも、これを行うことができます。

おすすめ動画

それは、KeePass のメモリからマスター パスワードを抽出するためです。 研究者が説明するように、これはさまざまな方法で取得できます。 メモリの取得元 — プロセス ダンプ、スワップ ファイル (pagefile.sys)、休止状態ファイル (hiberfil.sys) などの可能性があります また RAM システム全体のダンプ。」

このエクスプロイトは、KeePass が使用するいくつかのカスタム コードのおかげで存在します。 マスター パスワードを入力するときは、SecureTextBoxEx という名前のカスタム ボックスに入力します。 名前にもかかわらず、このボックスは 結局のところ、ボックスに入力されたすべての文字は基本的にそれ自体のコピーをシステムに残すため、それほど安全ではありません。 メモリー。 PoC ツールが見つけて抽出するのは、これらの残りの文字です。

修正が来ています

このセキュリティ侵害に対する 1 つの注意点は、マスター パスワードを抽出するマシンに物理的にアクセスする必要があることです。 しかし、それは必ずしも常に問題になるわけではありません。 LastPass エクスプロイトの物語、ハッカーは、コンピュータにインストールされている脆弱なリモート アクセス アプリを使用して、ターゲットのコンピュータにアクセスできるようになります。

ターゲット コンピュータがマルウェアに感染した場合、KeePass のメモリをダンプし、メモリとファイルの両方を送信するように設定される可能性があります。 アプリのデータベースをハッカー自身のサーバーに戻すことで、脅威アクターが独自のマスター パスワードを抽出できるようになります。 時間。

幸いなことに、KeePass の開発者は修正版が到着していると述べており、考えられる解決策の 1 つは、パスワードを難読化するランダムなダミー テキストをアプリのメモリに挿入することです。 この修正プログラムは 2023 年 6 月か 7 月までリリースされる予定ではないため、マスター パスワードの漏洩を心配している人にとっては、苦痛に待つことになるかもしれません。 ただし、開発者は修正のベータ版もリリースしており、ダウンロードできます。 KeePassウェブサイトより.

この脆弱性は、パスワード マネージャーのような一見安全なアプリでも侵害される可能性があることを示しているだけであり、深刻な脆弱性が存在するのはこれが初めてではありません。 KeePassで見つかりました. この最新のエクスプロイトのようなオンラインの脅威から身を守りたい場合は、ダウンロードを避けてください。 不明な送信者からのアプリやファイルを開いたり、疑わしい Web サイトを避けたり、ウイルス対策ソフトを使用したりしないでください。 アプリ。 そしてもちろん、パスワード マネージャーのマスター パスワードを決して他人と共有しないでください。

編集者のおすすめ

  • ランサムウェア攻撃が急増しています。 安全を保つ方法は次のとおりです
  • ChatGPT はサイバーセキュリティの悪夢を引き起こしていますか? 専門家に聞いてみた
  • ハッカーはあなたのデバイスを感染させるために悪意のある新しいトリックを使用しています
  • いいえ、1Password はハッキングされませんでした – これが実際に起こったことです
  • この Bing の欠陥により、ハッカーは検索結果を変更し、ファイルを盗むことができます

ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。

カテゴリ

最近

Samsung の 77 インチ QD-OLED の価格は 4,500 ドルです。 プレセールが始まります

Samsung の 77 インチ QD-OLED の価格は 4,500 ドルです。 プレセールが始まります

サムスンは、CES 2022 で QD-OLED テクノロジーに基づく 4K テレビを披露した...

サムスン、Galaxy S10の指紋センサーをさらに改良

サムスン、Galaxy S10の指紋センサーをさらに改良

ジュリアン・チョッカトゥ/デジタル トレンドサムスンは、今後も超音波指紋センサーの改良を続ける...

NFL サンデー チケットは 2023 年に YouTube 限定になります

NFL サンデー チケットは 2023 年に YouTube 限定になります

オーディオビデオ YouTube TV: プラン、料金、チャンネル、キャンセル方法など ストリ...

Privacy2024 © Tech Tips & Reviews. ALL Rights Reserved.

Tech Tips & Reviews