De bästa lösenordshanterare är avsedda att hålla alla dina inloggningar och kreditkortsuppgifter säkra och säkra, men en stor ny sårbarhet har just satt användare av KeePass-lösenordshanteraren i allvarlig risk att bli intrång.
Faktum är att utnyttjandet tillåter en angripare att stjäla en KeePass-användares huvudlösenord i vanlig text – med andra ord i okrypterad form – helt enkelt genom att extrahera det från måldatorns minne. Det är ett anmärkningsvärt enkelt hack, men som ändå kan ha oroande konsekvenser.
Lösenordshanterare som KeePass låser all din inloggningsinformation för att hålla den säker, och all denna data är förseglad bakom ett huvudlösenord. Du anger ditt huvudlösenord för att komma åt allt som lagras i ditt valv, vilket gör det till ett värdefullt mål för hackare.
Relaterad
- Denna kritiska exploatering kan låta hackare kringgå din Macs försvar
- Dessa pinsamma lösenord fick kändisar att hacka
- Google gjorde just detta viktiga säkerhetsverktyg för Gmail helt gratis
Som rapporterats av Pipande dator, upptäcktes KeePass-sårbarheten av säkerhetsforskaren 'vdohney', som publicerade ett proof-of-concept (PoC)-verktyg på GitHub. Detta verktyg kan extrahera nästan hela huvudlösenordet (förutom det första eller två tecknen) i läsbar, okrypterad form. Det kan till och med göra detta om KeePass är låst och eventuellt om appen är stängd helt och hållet.
Rekommenderade videor
Det beror på att det extraherar huvudlösenordet från KeePass minne. Som forskaren förklarar kan detta erhållas på en mängd olika sätt: "Det spelar ingen roll var minne kommer från — kan vara processdump, växlingsfil (pagefile.sys), vilolägesfil (hiberfil.sys) eller Bagge dumpning av hela systemet.”
Exploateringen existerar tack vare viss anpassad kod som KeePass använder. När du anger ditt huvudlösenord gör du det i en anpassad ruta som heter SecureTextBoxEx. Trots namnet visar det sig att den här lådan är det inte så säkert trots allt, eftersom varje tecken som skrivs in i rutan i princip lämnar en överbliven kopia av sig själv i systemet minne. Det är dessa kvarlevande karaktärer som PoC-verktyget hittar och extraherar.
En fix kommer
En förbehåll för detta säkerhetsbrott är att det kräver fysisk åtkomst till maskinen från vilken huvudlösenordet ska extraheras. Men det är inte nödvändigtvis alltid ett problem - som vi har sett i LastPass exploit saga, kan hackare få åtkomst till ett måls dator med hjälp av sårbara appar för fjärråtkomst installerade på datorn.
Om en måldator var infekterad med skadlig programvara kan den konfigureras att dumpa KeePass minne och skicka både det och appens databas tillbaka till hackarens egen server, vilket gör att hotaktören kan extrahera huvudlösenordet i sin egen tid.
Lyckligtvis säger KeePass utvecklare att en fix kommer in, med en av de möjliga lösningarna är att infoga slumpmässig dummy-text i appens minne som skulle fördunkla lösenordet. Fixeringen förväntas inte släppas förrän i juni eller juli 2023, vilket kan vara en smärtsam väntan för alla som är nervösa över att deras huvudlösenord läcker ut. Utvecklaren har dock också släppt en betaversion av fixen, som kan laddas ner från KeePass-webbplatsen.
Sårbarheten visar bara att även till synes säkra appar som lösenordshanterare kan brytas, och det är inte första gången en allvarlig svaghet har hittats i KeePass. Om du vill skydda dig från onlinehot som denna senaste exploatering, undvik att ladda ner appar eller öppna filer från okända avsändare, undvika tvivelaktiga webbplatser och använd ett antivirusprogram app. Och, naturligtvis, dela aldrig din lösenordshanterarens huvudlösenord med någon.
Redaktörens rekommendationer
- Ransomware-attacker har ökat kraftigt. Så här håller du dig säker
- Skapar ChatGPT en cybersäkerhetsmardröm? Vi frågade experterna
- Hackare använder ett listigt nytt knep för att infektera dina enheter
- Nej, 1Password hackades inte – här är vad som verkligen hände
- Detta Bing-fel låter hackare ändra sökresultat och stjäla dina filer
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
