Цей величезний експлойт менеджера паролів може ніколи не бути виправленим

Це були погані кілька місяців для менеджерів паролів — хоча здебільшого лише для LastPass. Але після одкровень LastPass зазнав серйозного порушення, зараз увага звернена до менеджера з відкритим кодом KeePass.

Лунали звинувачення в тому, що нова вразливість дозволяє хакерам таємно викрасти всю базу даних паролів користувача в незашифрованому відкритому тексті. Це неймовірно серйозна претензія, але розробники KeePass заперечують її.

KeePass є відкритим кодом менеджер паролів який зберігає свій вміст на пристрої користувача, а не в хмарі, як конкурентні пропозиції. Однак, як і в багатьох інших програмах, його сховище паролів можна захистити головним паролем.

Уразливість, зареєстрована як CVE-2023-24055, доступний кожному, хто має доступ до системи користувача на запис. Отримавши це, зловмисник може додати команди до XML-файлу конфігурації KeePass автоматично експортувати базу даних програми, включаючи всі імена користувачів і паролі, у незашифрований файл відкритий текстовий файл.

Завдяки змінам, внесеним до файлу XML, весь процес виконується автоматично у фоновому режимі, тому користувачі не попереджають про те, що їхню базу даних експортовано. Потім суб’єкт загрози може витягнути експортовану базу даних на комп’ютер або сервер, яким вони керують.

Це не буде виправлено

Однак розробники KeePass заперечують класифікацію процесу як уразливості, оскільки будь-хто хто має доступ для запису на пристрій, може отримати доступ до бази даних паролів за допомогою інших (іноді простіших) методи.

Іншими словами, як тільки хтось отримує доступ до вашого пристрою, такий експлойт XML стає непотрібним. Наприклад, зловмисники можуть встановити кейлоггер, щоб отримати головний пароль. Лінія міркувань полягає в тому, що хвилюватися про такий напад — це все одно, що зачинити двері після того, як кінь кинувся на засув. Якщо зловмисник має доступ до вашого комп’ютера, виправлення експлойту XML не допоможе.

Рішення, як стверджують розробники, полягає в тому, щоб «зберігати середовище в безпеці (за допомогою антивірусного програмного забезпечення, брандмауера, не відкривати невідомі вкладення електронної пошти тощо). KeePass не може чарівним чином безпечно працювати в незахищеному середовищі».

Що ти можеш зробити?

Хоча розробники KeePass, схоже, не бажають вирішувати проблему, є кроки, які ви можете зробити самостійно. Найкраще, що можна зробити, це створити примусовий файл конфігурації. Це матиме пріоритет над іншими конфігураційними файлами, пом’якшуючи будь-які зловмисні зміни, внесені сторонніми силами (наприклад, ті, що використовуються в уразливості експорту бази даних).

Ви також повинні переконатися, що звичайні користувачі не мають права запису до будь-яких важливих файлів або папок у каталозі KeePass і що файл .exe KeePass і файл примусової конфігурації знаходяться в одному папку.

І якщо вам незручно продовжувати користуватися KeePass, є багато інших варіантів. Спробуйте переключитися на один із найкращі менеджери паролів щоб захистити ваші логіни та дані кредитної картки як ніколи.

Хоча це, безсумнівно, погана новина для світу менеджерів паролів, ці програми все одно варто використовувати. Вони можуть допомогти вам створити надійні унікальні паролі які зашифровані на всіх ваших пристроях. Це набагато безпечніше, ніж використовуючи «123456» для кожного облікового запису.

Рекомендації редакції

• Цей критичний експлойт може дозволити хакерам обійти захист вашого Mac
• Можливо, хакери вкрали головний ключ іншого менеджера паролів
• Ні, 1Password не було зламано – ось що насправді сталося
• Якщо ви використовуєте цей безкоштовний менеджер паролів, ваші паролі можуть бути під загрозою
• LastPass розкриває, як його зламали — і це не дуже гарна новина

Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.