Otkriveno, Windows 10 menadžer lozinki dozvoljava hakerima da Vam ukradu podatke
Jedan od primećenih Google programera je otkrio problematičnu grešku u popularnom menadžeru lozinki koju Windows 10 instalira podrazumevano. Hakeri bi mogli dobiti svoje ruke na korisničke lozinke pomoću clickjacking-a i / ili ubacivanjeim malicioznog koda.
Istraživač Google projekta “Zero”, Tavis Ormandi, došao je do otkrića dok se igrao sa virtuelnom mašinom za Windows 10.
On nudi opis ranjivosti na chromium.org, forumu posvećenom projektima otvorenog koda iza Chrome pretraživača i Chrome OS-a.
“Čuo sam za Keeper-a, sećam se da sam malo pre podneo bug kako su ubacivali privilegovan korisnički interfejs na stranice”, piše Ormandi. “Proverio sam i ponovo radi istu stvar sa ovom verzijom. … ovo je potpuni kompromis Keeper bezbednosti, omogućavajući bilo kojoj web lokaciji ukrasti bilo koju lozinku. ”
On nudi dokaz o konceptu kako bi pokazao kako napadač može iskoristiti manju grešku da ukrade nečiju Twitter lozinku.
Kada su ljudi iza Keeper-a uhvatili vest, priznali su bug i požurili da ga isprave.
“Da bismo rešili ovo pitanje, uklonili smo dodatak “Dodaj u postojeće” i preduzeli dodatne korake kako bismo sprečili ovu potencijalnu ugroženost u budućnosti”, zapisao je tim Keeper-a na blogu kompanije.
“Iako na ovu potencijalnu ranjivost nijedan od klijenata nije negativno uticao na sve probleme, sigurnosne probleme, ranjivosti i izveštaje o greškama uzimamo u obzir ozbiljno”, kaže tim. “Bezbednost i zaštita informacija i podataka o kupcima su naš najveći prioritet kod Keeper-a. Od trenutka kada smo obavešteni o ovom problemu, mi smo ga rešili i izdali automatsko ažuriranje za naše kupce u roku od 24 sata. ”
Do sada nije bilo izveštaja o bilo kojim korisnicima koji su pogođeni ovim bugom, dok mobilne i desktop aplikacije ostaju nepromenjene – izgleda da su samo proširenja pretraživača ugrožena.
Od otkrića o greškama, dodaci za Keeper-a za Edge, Chrome i Firefox dobili su automatsko ažuriranje sa popravkom. Međutim, korisnici Safari-a moraju ručno da preuzmu i instaliraju verziju 13 (ili noviju verziju) sa stranice Keeper-a.
Ovakva mana poražava celu namenu menadžera lozinke, a činjenica da se Windows 10 oslanja na softver (po podrazumevanom podešavanju) za čuvanje korisničkih lozinki čini Ormandiovo otkriće još više zabrinjavajuće.
