Bug critico in keeper, il gestore delle password di Windows 10

Keeper è il nome del gestore delle password di Windows 10 che viene fornito gratuitamente con ogni nuova copia di Windows 10. Sfortunatamente, il ricercatore di Google Project Zero Travis Ormandy ha identificato un difetto critico nella nuova versione di Keeper e non è stato corretto da quasi otto giorni.

Keeper è il gestore password gratuito di Windows 10

'' Ho creato una nuova macchina virtuale Windows 10 con un'immagine incontaminata da MSDN e ho notato che un gestore password di terze parti è installato per impostazione predefinita. Non ci è voluto molto per trovare una vulnerabilità critica " , ha affermato Ormandy.

Il bug di Keeper è stato trovato in una nuova copia di Windows 10 scaricata da Microsoft Developer Network, mentre la versione non inclusa di questa app è già stata esposta a questo bug per oltre un anno.

A causa di questo errore, l'applicazione Stavo iniettando un'interfaccia utente affidabile in pagine Web inaffidabili attraverso uno script di contenuti e, di conseguenza, i siti Web sono stati in grado di rubare le credenziali degli utenti utilizzando il clickjacking e altre tecniche simili.

Per testare le loro scoperte, Ormandy ha anche rilasciato un exploit di prova di concetto, che ha dimostrato che quando un utente ha salvato la password di Twitter nell'app Keeper, è stato facile rubare. Gli sviluppatori di questo gestore di password hanno risolto il problema entro 24 ore dopo che Ormandy ha condiviso i loro risultati. Hanno anche rilasciato un aggiornamento automatico alla versione 11.3 dell'app.

Gli sviluppatori di Keeper affermano che nessuna delle estensioni dell'app è stata interessata, ma è vero che il bug è rimasto lì per otto giorni.

Carattere Hackread