Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Film
/ContentUploads/N6977/windows_10_keeper.jpg

Kikotyogja a jelszavakat a Windows 10 új jelszókezelője

2017.12.16. 12.34
Fél évvel ezelőtt többen észrevették, hogy a Windows 10 operációs rendszer egyik frissítése már egy harmadik féltől származó jelszókezelőt is tartalmaz – előtelepítve, a felhasználó engedélye és hozzájárulása nélkül. A Microsoft döntése kicsit szokatlan, hiszen a Keeper névre keresztelt szoftver a LastPass és a KeePass mellett névtelen szereplő a piacon, ráadásul mint kiderült, nem is vizsgálták meg alaposan a redmondi vállalat szakértői.

Tavis Ormandy, a Google egyik kiberbiztonsági szakértője ugyanis észrevette, hogy a szoftver nemcsak kimeríti a bloatware (kéretlen gyártói szoftver) fogalmát, de még a jelszavak biztonságos kezelésének feladatát sem látja el rendesen. Az etikus hacker egy egyszerű weblap segítségével demózta, hogy egy néhány soros, még kezdők számára is érthető JavaScript kóddal hogyan lehet kihalászni a Keeper által kezelt jelszavakat a szoftver böngészőbővítményén keresztül. Ez tehát azt jelenti, hogy a támadóknak elég elérniük azt, hogy az áldozat böngészőjében megnyitásra kerüljön egy ilyen lap (megtévesztéssel; beágyazva feltört weboldalakba; stb.), ami ezeket a jelszavakat elküldi a támadók számára.

Ormandy már jelezte a sebezhetőséget a Keeper fejlesztői számára, akik azonnal elkészítették és elérhetővé tették a javítást, így aki már használja a Windows 10 új jelszókezelőt, a 11.4.4-es verzióra való frissítés után (egyelőre) biztonságban tudhatja a jelszavait.
Összes hozzászólás