找回密码
 立即注册
首页 安全领域 安全板块 Windows 10上预装的密码管理器允许黑客窃取您的所有密码

Web安全 Windows 10上预装的密码管理器允许黑客窃取您的所有密码

2023-3-14 10:26:47 评论(0)






从Windows 10周年纪念更新(1607版)开始,微软增加了一个名为Content Delivery Manager的新功能,该功能可以在不请求用户许可的情况下静默安装新的“建议应用”。

根据Chromium博客上周五发布的一篇博文,Google Project Zero研究员塔维斯·奥曼迪(Tavis Ormandy)说,他在新安装的Windows 10系统上发现了一个名为“Keeper”的预装密码管理器,该系统是他直接从微软开发者网络下载的。


奥曼迪并不是唯一一个注意到管理员密码管理器的人。大约六个月前,一些Reddit用户抱怨了隐藏的密码管理器,其中一个用户报告说Keeper安装在使用Windows 10 Pro创建的虚拟机上。

Keeper密码管理器中存在严重漏洞
知道第三方密码管理器现在默认安装在Windows 10上,Ormandy开始测试该软件,不再发现导致“完全破坏Keeper安全,允许任何网站窃取任何密码”的关键漏洞

奥曼迪在推特上写道:“我不想听到,即使是一个拥有一个微不足道的远程根目录的密码管理器,在每个网站上共享你的所有密码,也比没有好。人们真的告诉我这一点。”。

Keeper Password Manager中的安全漏洞与2016年8月Ormandy在同一Keeper插件的非捆绑版本中发现并报告的漏洞几乎相同,该插件使恶意网站能够窃取密码。

奥曼迪说:“我检查了一下,他们在这个版本上又做了同样的事情。我认为我很慷慨地考虑到这是一个新的问题,符合90天披露的条件,因为我实际上只是改变了选择器,同样的攻击有效。”。

为了解释该漏洞的严重性,Ormandy还提供了一个有效的概念证明(PoC)漏洞,如果用户的Twitter密码存储在Keeper应用程序中,该漏洞会窃取用户的Twitter密码。

安装更新的Keeper密码管理器
Ormandy向Keeper开发人员报告了该漏洞,他们承认了这个问题,并在周五发布了刚刚发布的11.4版中的修复程序,删除了易受攻击的“添加到现有”功能。


由于该漏洞仅影响12月6日作为主要浏览器扩展更新发布的Keeper应用程序的第11版,因此该漏洞与Ormandy六个月前报告的漏洞不同。

Keeper还补充说,该公司没有注意到任何在野外使用此安全漏洞的攻击。

至于Windows 10用户,奥曼迪说,除非用户打开Keeper password manager并启用该软件来存储密码,否则他们不会受到密码盗窃的攻击。

然而,微软仍然需要解释如何在用户不知情的情况下将Keeper密码管理器安装到用户的计算机上。

同时,用户可以使用此注册表调整来禁用Content Delivery Manager,以防止Microsoft在其PC上悄悄安装不需要的应用程序。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x

使用道具 举报

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们(3513994353@qq.com)。
您需要登录后才可以回帖 登录 | 立即注册
楼主
西西子

关注0

粉丝0

帖子19

最新动态