Ang pag-alala sa lahat ng iyong mga password sa lahat ng iyong mga online account ay mahirap at ito ang dahilan kung bakit mayroon ang mga tagapamahala ng password tulad ng LastPass, Dashlane at 1Password. Ngunit ang mga malalaking naka-encrypt na database ng mga username at password ay pangunahing target para sa mga kriminal at marami sa mga programa ang nagdusa.
Ngayong linggo, libreng password manager KeePass inihayag sa site nito na isang kahinaan ay mayroon sa software nito at ang mga hacker ay maaaring magpadala ng pekeng mga pag-update ng software na naglalaman ng malware sa mga gumagamit sa pamamagitan ng pag-pose bilang bagong KeePass software. Gumagamit ang KeePass ng hindi naka-encrypt na Hypertext Transfer Protocol (HTTP) sa halip na ang ligtas na bersyon na HTTPS. (Kung hindi mo alam kung ano ang HTTP at HTTPS, tingnan ang URL ng pahinang ito. Ang HTTPS ay ang protocol na nagho-host ng data na ipinadala sa pagitan ng isang Internet browser at mga website. Ang HTTPS ay ligtas at napatunayan ang bawat website at server na gagawin sigurado na ang isang nakakahamak na site ay hindi posing bilang isang lehitimong.)
Ang mananaliksik sa seguridad na si Florian Bogner Sinabi sa LifeHacker na dahil ang KeePass ay gumagamit ng HTTP para sa mga pag-update ng software, ang mga manloloko ay maaaring lumikha ng isang pekeng pag-update na may spike na may nakakahamak na software.
Ipinapaliwanag ng KeePass sa site nito:
Ang file ng impormasyon na bersyon ay na-download mula sa website ng KeePass sa HTTP. Sa gayon ang isang tao sa gitna (isang tao na maaaring maharang ang iyong koneksyon sa website ng KeePass) ay maaaring nagbalik ng isang hindi tamang file ng impormasyon sa bersyon, posibleng gawin ang pagpapakita ng isang abiso sa KeePass na magagamit ang isang bagong bersyon ng KeePass.
Sinabi ng KeePass dahil lamang sa pagpapadala sa iyo ng isang hacker ng isang pekeng pag-update na may malware sa loob ay hindi nangangahulugang ang pag-atake ay paggalaw dahil ang KeePass ay hindi nagho-host ng mga awtomatikong pag-update. Ang mga gumagamit ng KeePass ay kailangang manu-manong mag-download ng isang bagong bersyon. Sinabi ng KeePass na dapat suriin ng mga gumagamit ang digital signature at kung mayroong malware, huwag itong i-download.
Para sa karagdagang impormasyon sa kung paano suriin ang isang digital na lagda, panoorin ang video ni Bogner sa ibaba:
