The პაროლის საუკეთესო მენეჯერები მიზნად ისახავს თქვენი ყველა შესვლისა და საკრედიტო ბარათის ინფორმაციის დაცვას, მაგრამ მთავარმა ახალმა დაუცველობამ ახლახან დააყენა KeePass პაროლის მენეჯერის მომხმარებლები დარღვევის სერიოზული რისკის ქვეშ.
ფაქტობრივად, ექსპლოიტი საშუალებას აძლევს თავდამსხმელს მოიპაროს KeePass მომხმარებლის ძირითადი პაროლი უბრალო ტექსტში - სხვა სიტყვებით რომ ვთქვათ, დაშიფრული ფორმით - უბრალოდ მისი ამოღებით სამიზნე კომპიუტერის მეხსიერებიდან. ეს არის საოცრად მარტივი ჰაკი, თუმცა შეიძლება ჰქონდეს შემაშფოთებელი შედეგები.
პაროლის მენეჯერები, როგორიცაა KeePass, იბლოკება თქვენი შესვლის ყველა ინფორმაცია, რომ ის უსაფრთხო იყოს და ყველა ეს მონაცემი დალუქულია ძირითადი პაროლის მიღმა. თქვენ შეიყვანთ თქვენს მთავარ პაროლს, რომ მიიღოთ წვდომა თქვენს სარდაფში შენახულ ყველაფერზე, რაც მას ღირებულ სამიზნედ აქცევს ჰაკერებისთვის.
დაკავშირებული
- ამ კრიტიკულმა ექსპლოიატმა შეიძლება ჰაკერებს საშუალება მისცეს გვერდი აუარონ თქვენი Mac-ის დაცვას
- ამ უხერხულმა პაროლებმა ცნობილი სახეები გატეხეს
- Google-მა ახლახან გახადა ეს მნიშვნელოვანი Gmail უსაფრთხოების ინსტრუმენტი სრულიად უფასო
როგორც იტყობინება ბლეპინგ კომპიუტერიKeePass-ის დაუცველობა აღმოაჩინა უსაფრთხოების მკვლევარმა „vdohney“-მ, რომელმაც გამოაქვეყნა კონცეფციის დამადასტურებელი (PoC) ინსტრუმენტი GitHub-ზე. ამ ხელსაწყოს შეუძლია ამოიღოს თითქმის მთელი ძირითადი პაროლი (პირველი ერთი ან ორი სიმბოლოს გარდა) წაკითხვადი, დაშიფრული ფორმით. მას შეუძლია ამის გაკეთებაც კი, თუ KeePass დაბლოკილია და, პოტენციურად, თუ აპი საერთოდ დახურულია.
რეკომენდებული ვიდეოები
ეს იმიტომ ხდება, რომ ის ამოიღებს მთავარ პაროლს KeePass-ის მეხსიერებიდან. როგორც მკვლევარი განმარტავს, ამის მიღება შესაძლებელია სხვადასხვა გზით: „არ აქვს მნიშვნელობა სად მეხსიერება მოდის - შეიძლება იყოს პროცესის ნაგავსაყრელი, swap ფაილი (pagefile.sys), hibernation ფაილი (hiberfil.sys) ან ოპერატიული მეხსიერება მთელი სისტემის ნაგავსაყრელი“.
ექსპლოიტი არსებობს KeePass-ის ზოგიერთი მორგებული კოდის წყალობით. როდესაც შეიყვანთ თქვენს მთავარ პაროლს, ამას აკეთებთ მორგებულ ველში, სახელწოდებით SecureTextBoxEx. სახელის მიუხედავად, თურმე ეს ყუთი არის ყოველივე ამის შემდეგ, არც ისე უსაფრთხოა, რადგან ყუთში აკრეფილი ყველა სიმბოლო არსებითად ტოვებს თავის ნარჩენ ასლს სისტემაში მეხსიერება. სწორედ ამ ნარჩენ სიმბოლოებს პოულობს და ამოიღებს PoC ინსტრუმენტი.
გამოსწორება მოდის
უსაფრთხოების ამ დარღვევის ერთ-ერთი გაფრთხილება არის ის, რომ ის მოითხოვს ფიზიკურ წვდომას მანქანაზე, საიდანაც უნდა ამოღებულ იქნას ძირითადი პაროლი. მაგრამ ეს ყოველთვის არ არის პრობლემა - როგორც ვნახეთ LastPass ექსპლოიტის საგა, ჰაკერებს შეუძლიათ მიიღონ წვდომა სამიზნე კომპიუტერზე კომპიუტერზე დაინსტალირებული დაუცველი დისტანციური წვდომის აპლიკაციების გამოყენებით.
თუ სამიზნე კომპიუტერი დაინფიცირებული იყო მავნე პროგრამით, მისი კონფიგურაცია შეიძლება მოხდეს KeePass-ის მეხსიერების გადაყრის და მისი და გაგზავნის მიზნით. აპლიკაციის მონაცემთა ბაზა უბრუნდება ჰაკერის საკუთარ სერვერს, რაც საფრთხის შემქმნელს საშუალებას აძლევს თავად ამოიღოს ძირითადი პაროლი დრო.
საბედნიეროდ, KeePass-ის დეველოპერი ამბობს, რომ გამოსწორება შემოდის, ერთ-ერთი შესაძლო საშუალებაა აპლიკაციის მეხსიერებაში შემთხვევითი მოტყუებული ტექსტის ჩასმა, რომელიც პაროლს აბუნდოვნებს. შესწორება სავარაუდოდ არ გამოვა 2023 წლის ივნისამდე ან ივლისამდე, რაც შეიძლება იყოს მტკივნეული ლოდინი ყველასთვის, ვინც ნერვიულობს მათი ძირითადი პაროლის გაჟონვის გამო. თუმცა, დეველოპერმა ასევე გამოუშვა გამოსწორების ბეტა ვერსია, რომლის ჩამოტვირთვაც შესაძლებელია KeePass ვებსაიტიდან.
დაუცველობა უბრალოდ აჩვენებს, რომ ერთი შეხედვით უსაფრთხო აპებიც კი, როგორიცაა პაროლის მენეჯერები, შეიძლება დაირღვეს და ეს არ არის პირველი შემთხვევა, როდესაც სერიოზული სისუსტეა. ნაპოვნია KeePass-ში. თუ გსურთ დაიცვათ თავი ონლაინ საფრთხეებისგან, როგორიცაა ეს უახლესი ექსპლოიტი, მოერიდეთ ჩამოტვირთვას აპები ან ფაილების გახსნა უცნობი გამგზავნისგან, მოერიდეთ საეჭვო ვებსაიტებს და გამოიყენეთ ანტივირუსი აპლიკაცია. და, რა თქმა უნდა, არავის გაუზიაროთ თქვენი პაროლის მენეჯერის ძირითადი პაროლი.
რედაქტორების რეკომენდაციები
- გამოსასყიდი პროგრამების შეტევები მასიურად გაიზარდა. აი, როგორ დავიცვათ თავი
- ქმნის თუ არა ChatGPT კიბერუსაფრთხოების კოშმარს? ვკითხეთ ექსპერტებს
- ჰაკერები იყენებენ მზაკვრულ ახალ ხრიკს თქვენი მოწყობილობების დასაინფიცირებლად
- არა, 1Password არ იყო გატეხილი - აი, რა მოხდა სინამდვილეში
- Bing-ის ეს ხარვეზი საშუალებას აძლევს ჰაკერებს შეცვალონ ძიების შედეგები და მოიპარონ თქვენი ფაილები
განაახლეთ თქვენი ცხოვრების წესიDigital Trends ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვებით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.
