Εκδόσεις των Windows 10 συμπεριέλαβαν password manager με κενό ασφαλείας

Για οχτώ περίπου ημέρες, ορισμένες εκδόσεις των Windows 10 ερχόντουσαν με τον password manager Keeper, ο οποίος περιείχε κενό ασφαλείας στο browser plugin του.

Την ανακάλυψη έκανε ο Tavis Ormandy, ερευνητής του Google Project Zero, ο οποίος είχε εντοπίσει την ίδια ευπάθεια στον συγκεκριμένο password manager 16 μήνες πριν.

Εν ολίγοις, το κενό ασφαλείας στον Keeper, έδινε τη δυνατότητα σε ιστότοπους να υποκλέπτουν κωδικούς ασφαλείας.

Ο Ormandy σε ανάρτησή του ανέφερε ότι ο Keeper ήρθε προεγκατεστημένος σε μια καινούρια έκδοση των Windows 10, η οποία προήλθε απευθείας από το Microsoft Developer Network.

Όταν δοκίμασε την εφαρμογή, διαπίστωσε ότι το browser plugin που η εφαρμογή του συνιστούσε να ενεργοποιήσει, περιείχε ένα σφάλμα που εξέθετε σε κίνδυνο την ασφάλεια του Keeper, επιτρέποντας σε οποιοδήποτε ιστότοπο να υποκλέψει κωδικούς
Ο ίδιος παρέπεμψε στην απόδειξή του, όπου υποκλέπτει τον κωδικό του Twitter ενός χρήστη, αν αυτός είναι αποθηκευμένος στην εφαρμογή Keeper αλλά είναι ενεργοποιημένο το Plugin.

Εκπρόσωπος της Keeper ανέφερε ότι πρόκειται για διαφορετικό bug από αυτό που ανέφερε ο Ormandy 16 μήνες πριν κι ότι το νέο σφάλμα αφορά μόνο στην έκδοση 11 που λανσαρίστηκε στις 6 Δεκεμβρίου και μόνο αν κάποιος αποθηκεύσει το browser plugin. Εντός 24 ωρών, η εταιρεία κυκλοφόρησε patch που διορθώνει το πρόβλημα.

Από την πλευρά της η Microsoft δεν σχολίασε τις διαδικασίες που ακολουθεί για τις δοκιμές των εφαρμογών τρίτων εταιρειών.

Πηγή