ข้อผิดพลาดที่สำคัญในการรักษาผู้จัดการจัดการรหัสผ่านของ Windows 10

Keeper เป็นชื่อของตัวจัดการรหัสผ่าน Windows 10 ที่มาพร้อมกับ Windows 10 ใหม่ทุกชุดโชคไม่ดี ที่ข้อบกพร่องที่สำคัญได้ถูกระบุ โดย Google Project Zero นักวิจัย Travis Ormandy ใน Keeper รุ่นใหม่และไม่ได้รับการแก้ไขโดย เกือบแปดวัน

Keeper เป็นผู้จัดการรหัสผ่านฟรีของ Windows 10

'' ฉันได้สร้าง Windows 10 VM ใหม่พร้อมอิมเมจเริ่มต้นจาก MSDN และสังเกตว่ามีการติดตั้งตัวจัดการรหัสผ่านของบุคคลที่สามเป็นค่าเริ่มต้น มันใช้เวลาไม่นานในการค้นหาช่องโหว่ที่สำคัญ” เป็นสิ่งที่ Ormandy กล่าว

พบข้อผิดพลาด Keeper ในสำเนา Windows 10 ใหม่ล่าสุดที่ ดาวน์โหลดจาก Microsoft Developer Network ในขณะที่รุ่นที่ไม่ได้รวมของแอพนี้ได้รับการสัมผัสกับข้อผิดพลาดนี้มานานกว่าหนึ่งปี

เนื่องจากความล้มเหลวนี้แอปพลิเคชัน ฉันกำลังฉีดอินเทอร์เฟซผู้ใช้ที่เชื่อถือได้ลงในหน้าเว็บที่ไม่น่าเชื่อถือผ่านสคริปต์เนื้อหาและด้วยเหตุ นี้เว็บไซต์จึงสามารถขโมยข้อมูลประจำตัวของผู้ใช้โดยใช้ clickjacking และเทคนิคอื่น ๆ ที่คล้ายคลึงกัน

เพื่อทดสอบการค้นพบของพวกเขา ออร์แมนดี้ยังได้เปิดตัวการพิสูจน์ ความได้ เปรียบ ซึ่งแสดงให้เห็นว่าเมื่อผู้ใช้บันทึกรหัสผ่าน Twitter ของพวกเขาในแอป Keeper มันง่ายที่จะขโมย นักพัฒนาของผู้จัดการรหัสผ่านนี้แก้ไขปัญหาภายใน 24 ชั่วโมงหลังจาก Ormandy แบ่งปันสิ่งที่ค้นพบ พวกเขายังปล่อยการ อัปเดตอัตโนมัติเป็นแอปเวอร์ชัน 11.3

นักพัฒนาของ Keeper อ้างว่าไม่มีส่วนขยายของแอปใดได้รับผลกระทบ แต่เป็นความจริงที่ว่าบั๊กนั้นอยู่ที่นั่นเป็นเวลาแปดวัน

ตัวอักษรแฮก