Lembrar de todas as suas senhas para todas as suas contas online é um desafio e é por isso que os gerenciadores de senhas como LastPass, Dashlane e 1Password existem. Mas esses enormes bancos de dados criptografados de nomes de usuário e senhas são os principais alvos dos criminosos e muitos dos programas sofreram violações.
Esta semana, gerenciador de senhas grátis KeePass anunciou em seu site que existe uma vulnerabilidade em seu software e os hackers podem enviar atualizações de software falsas contendo malware aos usuários, se passando por o novo software KeePass. KeePass usa protocolo de transferência de hipertexto (HTTP) não criptografado em vez da versão segura HTTPS. (Se você não sabe o que são HTTP e HTTPS, dê uma olhada no URL desta página. HTTPS é o protocolo que hospeda dados enviados entre um navegador de Internet e sites. HTTPS é seguro e autentica cada site e o servidor para fazer certifique-se de que um site malicioso não está se passando por legítimo.)
Pesquisador de segurança Florian Bogner diz LifeHacker que, como o KeePass usa HTTP para atualizações de software, os criminosos podem criar uma atualização falsa com software malicioso.
KeePass explica em seu site:
O arquivo de informações da versão é baixado do site KeePass em HTTP. Assim, um intermediário (alguém que pode interceptar sua conexão com o site KeePass) pode ter retornado um arquivo de informações de versão incorreta, possivelmente fazendo o KeePass exibir uma notificação de que uma nova versão do KeePass está disponível.
KeePass diz que só porque um hacker lhe envia uma atualização falsa com malware dentro, não significa que o ataque está em movimento, porque o KeePass não hospeda atualizações automáticas. Os usuários do KeePass precisam baixar manualmente uma nova versão. O KeePass diz que os usuários devem verificar a assinatura digital e, se houver malware, não baixá-lo.
Para obter mais informações sobre como verificar uma assinatura digital, assista ao vídeo de Bogner abaixo:
