Việc ghi nhớ tất cả mật khẩu cho tất cả các tài khoản trực tuyến của bạn là một thách thức và đây là lý do tại sao các trình quản lý mật khẩu như LastPass, Dashlane và 1Password tồn tại. Nhưng những cơ sở dữ liệu mã hóa khổng lồ về tên người dùng và mật khẩu này là mục tiêu hàng đầu của bọn tội phạm và nhiều chương trình đã bị vi phạm.
Tuần này, trình quản lý mật khẩu miễn phí KeePass đã thông báo trên trang web của mình rằng một lỗ hổng tồn tại trong phần mềm của nó và tin tặc có thể gửi các bản cập nhật phần mềm giả mạo có chứa phần mềm độc hại cho người dùng bằng cách giả dạng là phần mềm KeePass mới. KeePass sử dụng Giao thức truyền siêu văn bản (HTTP) không được mã hóa thay vì HTTPS phiên bản an toàn. (Nếu bạn không biết HTTP và HTTPS là gì, hãy xem URL của trang này. HTTPS là giao thức lưu trữ dữ liệu được gửi giữa trình duyệt Internet và các trang web. HTTPS bảo mật và xác thực từng trang web và máy chủ để thực hiện chắc chắn rằng một trang web độc hại không được coi là một trang hợp pháp.)
Nhà nghiên cứu bảo mật Florian Bogner nói với LifeHacker rằng vì KeePass sử dụng HTTP để cập nhật phần mềm, kẻ gian có thể tạo một bản cập nhật giả với phần mềm độc hại.
KeePass giải thích trên trang web của mình:
Tệp thông tin phiên bản được tải xuống từ trang web KeePass qua HTTP. Do đó, một người đàn ông ở giữa (người có thể chặn kết nối của bạn với trang web KeePass) có thể đã trả lại tệp thông tin phiên bản không chính xác, có thể khiến KeePass hiển thị thông báo rằng có phiên bản KeePass mới.
KeePass cho biết chỉ vì một tin tặc gửi cho bạn một bản cập nhật giả với phần mềm độc hại bên trong không có nghĩa là cuộc tấn công đang diễn ra vì KeePass không lưu trữ các bản cập nhật tự động. Người dùng KeePass phải tải xuống phiên bản mới theo cách thủ công. KeePass cho biết người dùng nên kiểm tra chữ ký điện tử và nếu có phần mềm độc hại, đừng tải xuống.
Để biết thêm thông tin về cách kiểm tra chữ ký điện tử, hãy xem video của Bogner bên dưới:
