Fallada critico a keeper, l'administrador de contrasenyes de Windows 10

Keeper és el nom de l'administrador de contrasenyes de Windows 10 que ve gratis amb cada còpia nova de Windows 10. Desafortunadament, una fallada crítica ha estat identificat per l'investigador de l'Google Project Zero Travis Ormandy en la nova versió de Keeper i no va ser corregit per gairebé vuit dies.

Keeper és l'administrador de contrasenyes gratuït de Windows 10

'' He creat un nou VM de Windows 10 amb una imatge prístina de MSDN i he notat que un administrador de contrasenyes de tercers està instal·lat per defecte. No va prendre molt de temps trobar una vulnerabilitat crítica ", va ser el que va dir Ormandy.

La fallada en Keeper es va trobar en una còpia fresca de Windows 10 descarregada des de Microsoft Developer Network, mentre que la versió no inclosa d'aquesta aplicació ja ha estat exposada a aquesta fallada durant més d'un any.

A causa d'aquest error, l'aplicació estava injectant una interfície d'usuari de confiança en pàgines web poc fiables a través d'un script de contingut i, com a resultat, els llocs web van ser capaços de robar credencials d'usuari usant clickjacking i altres tècniques similars.

Per provar les seves troballes, Ormandy també va publicar un exploit de prova conceptual, que va demostrar que quan un usuari guardava la contrasenya de Twitter en l'aplicació Keeper, era fàcil de robar. Els desenvolupadors d'aquest administrador de contrasenyes van resoldre el problema en 24 hores després que Ormandy compartís les seves troballes. També han publicat una actualització automàtica a la versió 11.3 de l'aplicació.

Els desenvolupadors de Keeper afirmen que cap de les extensions de l'aplicació s'ha vist afectada, però és cert que la decisió va seguir allà durant vuit dies.

font Hackread