Mellékleteink: HUP | Gamekapocs
Keres
Nem állunk le! Alkalomazott AI és mobilfejlesztői meetupokkal várunk mindenkit április 29-30-án az Ankertben.

Védtelenek voltak a Keeperben tárolt jelszavak

Hlács Ferenc, 2017. december 18. 16:00

A jelszókezelő több Windows 10 kiadással előre telepítve érkezett, a kritikus sebezhetőség pedig már egy korábbi verziójában is felbukkant.

hirdetés

Több mint egy héten át tette ki a jelszólopás kockázatának a felhasználókat egy, a Windows 10 bizonyos kiadásaihoz csomagolt jelszókezelő. Az esetet súlyosbítja, hogy a Keeper Password Manager névre hallgató szoftver sebezhetősége nem volt ismeretlen, azt az új esetet is felfedező, Travis Ormandy, a Google Project Zero biztonsági szakértője már mintegy 16 hónappal ezelőtt demonstrálta.

Az alkalmazáshoz tartozó böngészős plugin, amelynek bekapcsolására az app telepítés után felszólítja a felhasználókat, egy olyan bugot tartalmaz, amelyen keresztül lényegében "bármely weboldal ellophatja a felhasználó bármely jelszavát". A sebezhetőségre már több mint egy évvel korábban fény derült, akkor Ormandy a Keeper Password Manager önálló verziójában fedezte azt fel, ugyanakkor a Windowshoz csomagolt verziót megvizsgálva is gyorsan kiderült, hogy a fejlesztőknek azt 16 hónap alatt nem sikerült befoltozni, néhány selector érték megváltoztatásával a szakértő azzal ugyanúgy képes volt jelszavakat megszerezni, mint a korábbi verzióval. Ormandy blogposztban is beszámolt az esetről, kiemelve, hogy az érintett Windows 10 kiadást közvetlenül a Microsoft Developer Networkről szerezte be, azon pedig a Keeper Password Manager sebezhető verziója előre telepítve érkezett. A szakértő a problémát demonstrálandó egy nyilvános próbaoldalt is létrehozott, amely a Keeper bekapcsolt pluginja mellett képes ellopni a látogató Twitter jelszavát.

keepr

A Keeper Password Manager csapatának szóvivője ugyanakkor az Ars Technica szerint tagadta, hogy ugyanarról a bugról lenne szó, amelyet a Ormandy tavaly is felfedezett, hangsúlyozva, hogy a most nyilvánosságra került sebezhetőség csak az alkalmazás 11-es verzióját érintette, amelyet a fejlesztőcég idén december 6-án adott ki - és utóbbi esetében is csak azon felhasználóknál jelentett veszélyt, akik az ahhoz tartozó böngészőplugint is telepítették. A cég egyébként múlt pénteken, a 11.4-es szoftververzióban javította a szóban forgó bugot, egy nappal azután, hogy Ormandy beszámolt arról. Erősen kérdéses ugyanakkor, hogy a most felbukkant sérülékenység valóban független lenne a 16 hónappal ezelőttitől, figyelembe véve, hogy azt a Ormandy lényegében erőfeszítés nélkül, az ismert nyomvonalon elindulva találta meg - de az is felvet kérdéseket, hogy ha a cég tudott a korábbi bugról, hogy kerülhette el a mostani sebezhetőség a figyelmét saját termékében.

A biztonsági rés, amely 8 napon keresztül volt kihasználható, értelemszerűen nem érintett minden Windows 10 felhasználót, csak azokat, akik a Keeper Password Managert használták, az említett pluginnal együtt. Az Ars Technica intézett egy megkeresést a Microsoft felé azzal kapcsolatban, hogy a harmadik féltől származó, a rendszerrel egybecsomagolt appok milyen biztonsági ellenőrzéseken esnek át, a cég azonban ezzel kapcsolatban nem adott információt. A vállalat egy közleményben mindössze annyit mondott, tudnak a problémáról, a fejlesztő pedig már megkezdte a szükséges frissítések kiküldését.

Az eddigiek alapján az sem világos, hogy a renitens jelszókezelőt a Microsoft pontosan milyen esetekben csomagolja operációs rendszere mellé. Az Ormandy által a Microsoft Developer Networkről beszerzett példány elsősorban fejlesztőket céloz, ugyanakkor ahogyan az az ügy kapcsán indult Reddit beszélgetésből kiderül, egyes esetekben új, Windowst futtató notebookokon, illetve egy Windows 10 Prót futtató virtuális gép esetében is felbukkant a kéretlen szoftver. Jelen állás szerint ugyanakkor a jelszókezelő felhasználóinak sincs okuk aggodalomra, legalábbis ha a legfrissebb, 11.4-es verziót használják, azzal kapcsolatban ugyanakkor a Microsoft részéről lenne helye részletesebb felvilágosításnak, hogy pontosan milyen ellenőrzéseken mennek keresztül a rendszere mellé csomagolt alkalmazások.

Alkalomazott AI és mobilfejlesztői meetupokkal várunk mindenkit április 29-30-án az Ankertben.