Windows 10 zawiera menedżera haseł… z poważną luką

Coraz więcej loginów i haseł może stanowić wyzwanie dla każdego użytkownika. Biorąc pod uwagę, że hasło musi zawierać odpowiednią liczbę znaków i to najlepiej losowych, zapamiętanie ich wszystkich jest bardzo trudne i prowadzi najczęściej do używania prostego hasła w wielu serwisach. Z tego powodu dobrym rozwiązaniem jest stosowanie menedżera haseł, który w wielu przypadkach przechowuje w zaszyfrowanym pliku wszystkie ważne dane, a od użytkownika wymaga jedynie zapamiętania głównego hasła.

Oczywiście wybór odpowiedniej aplikacji zależy od użytkownika, jego oczekiwań i przede wszystkim poziomu oferowanego bezpieczeństwa. Dość ciekawego odkrycia dokonał Tavis Ormandy, badacz bezpieczeństwa z Google, który poinformował, że jeden z programów tego typu zawiera poważną lukę, umożliwiającą odpowiednio spreparowanej witrynie wydobycie haseł. Zanim jednak do tego przejdziemy, warto zastanowić się w jaki sposób wspomniany menedżer haseł znalazł się na komputerach użytkowników…

Jak donoszą różne serwisy[1], od wersji 1607 Windows 10 zawiera Content Delivery Manager, który preinstaluje różne aplikacje[2], niestety bez wiedzy użytkownika. W ten sposób osoby, które zainstalowały czystą wersję Windowsa 10, po kilku godzinach zauważyły u siebie nowe aplikacje. Jednym z takich programów jest Keeper, który jest menedżerem haseł.

Źródło: https://www.bleepingcomputer.com/news/security/windows-10-bundles-a-password-manager-password-manager-bundles-a-security-flaw/
Źródło: https://www.bleepingcomputer.com/news/security/windows-10-bundles-a-password-manager-password-manager-bundles-a-security-flaw/

Tavis Ormandy nie jest pierwszą osobą, która to zauważyła, jednak badacz wskazał inny problem – aplikacja zawierała poważną lukę, która pozwalała dowolnej stronie na kradzież haseł. Co ciekawe, sam badacz donosi, że w sierpniu 2016 roku zgłosił do producenta aplikacji podobną lukę, która pozwalała złośliwym stronom na kradzież haseł. Odkrywca błędu stworzył nawet witrynę (Proof of Concept), która wydobywa hasło użytkownika do Twittera, jeżeli jest przechowywane w aplikacji.

Cała sprawa ponownie została skierowania do zespołu Keepera, który zareagował bardzo szybko i obecnie dostępna jest aktualizacja do wersji 11.4, która eliminuje odnaleziony przez Tavisa błąd.

[1] https://thehackernews.com/2017/12/windows-10-password-manager.html
[2] https://insidewindows.net/2016/08/24/how-to-stop-windows-10-1607-from-installing-unwanted-apps/