Критична помилка зберігача, менеджер паролів Windows 10

Keeper - це ім'я менеджера паролів Windows 10, який постачається безкоштовно з кожною новою копією Windows 10. На жаль, дослідник Google Project Zero Травіс Ормандій виявив критичний недолік у новій версії Keeper і не був виправлений майже вісім днів.

Keeper - безкоштовний менеджер паролів Windows 10

'' Я створив нову Windows 10 VM із незайманим зображенням від MSDN і помітив, що сторонній менеджер паролів встановлений за замовчуванням. Не знадобилося багато часу, щоб знайти критичну вразливість ", - сказав Ормандій.

Помилка Keeper була знайдена у свіжій копії Windows 10, завантаженій з Мережі розробників Microsoft, тоді як версія, яка не входить у цю програму, вже підпадала під цю помилку.

Через цю несправність додаток Я вводив надійний користувальницький інтерфейс у ненадійні веб-сторінки через скрипт вмісту, і в результаті веб-сайти змогли викрасти облікові дані користувачів, використовуючи clickjacking та інші подібні методи.

Щоб перевірити свої висновки, Орманді також випустив подвиг про підтвердження концепції, який показав, що коли користувач зберігав свій пароль Twitter у додатку Keeper, його було легко вкрасти. Розробники цього менеджера паролів вирішили проблему протягом 24 годин після того, як Ормандія поділилася своїми висновками. Вони також випустили автоматичне оновлення до версії 11.3 програми.

Розробники Keeper стверджують, що жодне з розширень програми не вплинуло, але правда, що помилка там трималася вісім днів.

Шрифт Hackread