Тхе најбољи менаџери лозинки имају за циљ да чувају све ваше податке за пријављивање и податке о кредитној картици безбедним и сигурним, али велика нова рањивост је управо довела кориснике КееПасс менаџера лозинки у озбиљан ризик од провале.
У ствари, експлоатација омогућава нападачу да украде главну лозинку КееПасс корисника у обичном тексту — другим речима, у нешифрованом облику — једноставним издвајањем из меморије циљног рачунара. То је изузетно једноставан хак, али који би могао имати забрињавајуће импликације.
Менаџери лозинки као што је КееПасс закључавају све ваше податке за пријаву да би били безбедни, а сви ти подаци су запечаћени иза главне лозинке. Унесите своју главну лозинку да бисте приступили свему што је ускладиштено у вашем трезору, што га чини вредном метом за хакере.
Повезан
- Овај критични подвиг би могао дозволити хакерима да заобиђу одбрану вашег Мац-а
- Ове срамотне лозинке су хаковале познате личности
- Гоогле је управо направио ову виталну Гмаил безбедносну алатку потпуно бесплатном
Како је известио Блеепинг Цомпутер, КееПасс рањивост је открио истраживач безбедности „вдохнеи“, који је објавио алатку за проверу концепта (ПоЦ) на ГитХуб-у. Овај алат је у стању да издвоји скоро целу главну лозинку (осим првог једног или два знака) у читљивом, нешифрованом облику. То може чак и ако је КееПасс закључан и, потенцијално, ако је апликација потпуно затворена.
Препоручени видео снимци
То је зато што извлачи главну лозинку из КееПасс-ове меморије. Како истраживач објашњава, ово се може добити на различите начине: „Није важно где меморија долази из — може бити думп процеса, датотека за замену (пагефиле.сис), датотека хибернације (хиберфил.сис) или РАМ депонија читавог система.”
Експлоатација постоји захваљујући неком прилагођеном коду који КееПасс користи. Када унесете своју главну лозинку, то радите у прилагођеном пољу под називом СецуреТектБокЕк. Упркос имену, испоставило се да је ова кутија ипак није тако безбедно, пошто сваки знак укуцан у кутију у суштини оставља заосталу копију себе у систему меморија. ПоЦ алат проналази и издваја ове преостале знакове.
Долази поправка
Једно упозорење за ову безбедносну повреду је да захтева физички приступ машини са које треба да се извуче главна лозинка. Али то није увек проблем - као што смо видели у ЛастПасс сага о експлоатацији, хакери могу да добију приступ рачунару мете помоћу рањивих апликација за даљински приступ инсталираних на рачунару.
Ако је циљни рачунар заражен малвером, може се конфигурисати да избаци КееПасс-ову меморију и пошаље је и базе података апликације назад на хакеров сопствени сервер, омогућавајући актеру претње да извуче главну лозинку у своју сопствену време.
На срећу, програмер КееПасс-а каже да стиже исправка, а један од могућих лекова је да се убаци насумични лажни текст у меморију апликације који би замаглио лозинку. Очекује се да ће исправка бити објављена тек у јуну или јулу 2023. године, што би могло бити болно чекање за свакога ко је нервозан због цурења њихове главне лозинке. Међутим, програмер је такође објавио бета верзију поправке, која се може преузети са веб локације КееПасс.
Рањивост само показује да чак и наизглед сигурне апликације као што су менаџери лозинки могу бити пробијене, а то није први пут да је озбиљна слабост је пронађен у КееПасс-у. Ако желите да се заштитите од онлајн претњи као што је овај најновији експлоат, избегавајте преузимање апликације или отварања датотека од непознатих пошиљалаца, клоните се сумњивих веб локација и користите антивирус апликација. И, наравно, никада ни са ким не делите главну лозинку свог менаџера лозинки.
Препоруке уредника
- Напади рансомваре-а су масовно порасли. Ево како да останете безбедни
- Да ли ЦхатГПТ ствара ноћну мору за сајбер безбедност? Питали смо стручњаке
- Хакери користе нови трик да заразе ваше уређаје
- Не, 1Пассворд није хакован – ево шта се заиста догодило
- Ова Бинг мана омогућава хакерима да мењају резултате претраге и краду ваше датотеке
Надоградите свој животни стилДигитални трендови помажу читаоцима да прате убрзани свет технологије са свим најновијим вестима, забавним рецензијама производа, проницљивим уводницима и јединственим кратким прегледима.
