Managerul de parole Windows 10, permite hackerilor să vă fure parolele

19 Decembrie 2017

Un dezvoltator Google, Tavis Ormandy, a descoperit, în timp ce se juca cu o mașină virtuală Windows 10, un defect îngrijorător într-un manager de parole populare pe care Windows 10 îl instalează în mod implicit. Hackerii ar putea să pună mâinile pe parolele utilizatorilor prin tehnici de clickjacking și / sau tehnici de injecție coduri rău intenționate.

El oferă o descriere a vulnerabilității pe forumul chromium.org, forum dedicat proiectelor open source din spatele browserului Chrome și sistemului de operare Chrome.

"Am auzit de Keeper, îmi amintesc că am depus un bug cu ceva timp în urmă despre modul în care injectau interfețe privilegiate în pagini", scrie Ormandy. "Am verificat și, ei fac același lucru din nou cu această versiune. ... acesta este un compromis complet al securității Keeper, permițând oricărui site să fure orice parolă. "

El oferă o dovadă a conceptului pentru a arăta cum un atacator ar putea influența defectele pentru a fura parola de Twitter a cuiva.

Când oamenii din spatele Keeper au aflat informația, au recunoscut bug-ul și s-au grabit să-l repare.

"Pentru a rezolva această problemă, am eliminat fluxul <> și am făcut pași suplimentari pentru a preveni această vulnerabilitate potențială în viitor", scrie echipa bloggerului pe blogul companiei.

"Chiar dacă niciun client nu a fost afectat negativ de această vulnerabilitate potențială, luăm serios toate problemele de securitate, vulnerabilitățile și rapoartele de securitate raportate", spune echipa. "Securitatea și protecția informațiilor și datelor clienților este prioritatea noastră de vârf la Keeper. Din momentul în care am fost informați despre această problemă, l-am rezolvat și am emis o actualizare automată a extensiei pentru clienții noștri în 24 de ore ".

Până în prezent, nu au existat rapoarte despre clienții afectați de eroare, în timp ce aplicațiile mobile și desktop ale companiei nu au rămas afectate - numai extensiile de browser par a fi vulnerabile.

De la dezvăluirea bug-ului, extensiile Keeper pentru Edge, Chrome și Firefox au primit o actualizare automată cu remedierea. Utilizatorii Safari, cu toate acestea, trebuie să descarce manual și să instaleze versiunea 11.4.4 (sau mai nouă) vizitând pagina de descărcare a lui Keeper.

Un astfel de defect învinge întregul scop al unui manager de parole și faptul că Windows 10 se bazează pe software (în mod implicit) pentru a stoca parolele utilizatorilor face descoperirea lui Ormandy cu atât mai îngrijorătoare. Sperăm că echipa de la Keeper nu va lăsa astfel de bug-uri în viitor.


sursa: hotforsecurity.bitdefender.com

Managerul de parole Windows 10, permite hackerilor să vă fure parolele