Kritická chyba správce, správce hesel pro systém Windows 10

Keeper je jméno správce hesel pro systém Windows 10, který je k dispozici zdarma s každou novou kopií systému Windows 10. Kritickou chybu však bohužel zjistil výzkumník Google Project Zero Travis Ormandy v nové verzi Keeperu a nebyl opraven téměř osm dní.

Keeper je bezplatný správce hesel v systému Windows 10

'' Vytvořil jsem nový Windows 10 VM s nedotčeným obrazem od MSDN a všiml jsem si, že ve výchozím nastavení je nainstalován správce hesel třetích stran. Netrvalo dlouho najít kritickou zranitelnost , “ řekl Ormandy.

Chyba Keeper byla nalezena v nové kopii Windows 10 stažené z Microsoft Developer Network, zatímco nezařazená verze této aplikace byla této chybě již více než rok vystavena.

Kvůli tomuto selhání aplikace Vkládal jsem důvěryhodné uživatelské rozhraní do nespolehlivých webových stránek pomocí skriptu s obsahem, a v důsledku toho byly webové stránky schopny ukrást uživatelské pověření pomocí clickjackingu a dalších podobných technik.

Aby otestovala svá zjištění, vydala Ormandy také exploit konceptu, který ukázal, že když uživatel uložil své heslo Twitter v aplikaci Keeper, bylo snadné ho ukrást. Vývojáři tohoto správce hesel tento problém vyřešili do 24 hodin poté, co se Ormandy podělil o svá zjištění. Vydali také automatickou aktualizaci aplikace na verzi 11.3.

Vývojáři Keeperu tvrdí, že žádná z rozšíření aplikace nebyla ovlivněna, ale je pravda, že chyba tam zůstala osm dní.

Hackread písmo