由於各個平台越發複雜的密碼要求,使用密碼管理軟體統一儲存密碼的使用者越來越多,但這也意味著,此類軟體一旦出現漏洞,就極易導致隱私洩露。
近日,開源密碼管理軟體KeePass就被爆出存在惡性安全漏洞,攻擊者能夠在使用者不知情的情況下,直接以純文字形式匯出使用者的整個密碼資料庫。
據悉,KeePass採用本地資料庫的方式保存使用者密碼,並允許使用者通過主密碼對資料庫加密,避免洩露。
但剛剛被發現的CVE-2023-24055漏洞,能夠在攻擊者獲取寫入權限之後,直接修改KeePass XML檔案並注入觸發器,從而將資料庫的所有使用者名稱和密碼以明文方式全部匯出。
這整個過程全部在系統後台完成,不需要進行前期互動,不需要受害者輸入密碼,甚至不會對受害者進行任何通知提醒。
目前,KeePass官方表示,這一漏洞不是其能夠解決的,有能力修改寫入權限的駭客完全可以進行更強大的攻擊。
因此,注意裝置環境的安全,避免受到攻擊才是最重要的,並稱「KeePass無法在不安全的環境中神奇地安全運行。」
發這種東西不怕被告嗎?