HWSW

Védtelenek voltak a Keeperben tárolt jelszavak

A jelszókezelő több Windows 10 kiadással előre telepítve érkezett, a kritikus sebezhetőség pedig már egy korábbi verziójában is felbukkant.

Több mint egy héten át tette ki a jelszólopás kockázatának a felhasználókat egy, a Windows 10 bizonyos kiadásaihoz csomagolt jelszókezelő. Az esetet súlyosbítja, hogy a Keeper Password Manager névre hallgató szoftver sebezhetősége nem volt ismeretlen, azt az új esetet is felfedező, Travis Ormandy, a Google Project Zero biztonsági szakértője már mintegy 16 hónappal ezelőtt demonstrálta.

Az alkalmazáshoz tartozó böngészős plugin, amelynek bekapcsolására az app telepítés után felszólítja a felhasználókat, egy olyan bugot tartalmaz, amelyen keresztül lényegében "bármely weboldal ellophatja a felhasználó bármely jelszavát". A sebezhetőségre már több mint egy évvel korábban fény derült, akkor Ormandy a Keeper Password Manager önálló verziójában fedezte azt fel, ugyanakkor a Windowshoz csomagolt verziót megvizsgálva is gyorsan kiderült, hogy a fejlesztőknek azt 16 hónap alatt nem sikerült befoltozni, néhány selector érték megváltoztatásával a szakértő azzal ugyanúgy képes volt jelszavakat megszerezni, mint a korábbi verzióval. Ormandy blogposztban is beszámolt [1]az esetről, kiemelve, hogy az érintett Windows 10 kiadást közvetlenül a Microsoft Developer Networkről szerezte be, azon pedig a Keeper Password Manager sebezhető verziója előre telepítve érkezett. A szakértő a problémát demonstrálandó egy nyilvános próbaoldalt is létrehozott, amely a Keeper bekapcsolt pluginja mellett képes ellopni a látogató Twitter jelszavát. [2]

keepr

A Keeper Password Manager csapatának szóvivője ugyanakkor az Ars Technica szerint [3] tagadta, hogy ugyanarról a bugról lenne szó, amelyet a Ormandy tavaly is felfedezett, hangsúlyozva, hogy a most nyilvánosságra került sebezhetőség csak az alkalmazás 11-es verzióját érintette, amelyet a fejlesztőcég idén december 6-án adott ki - és utóbbi esetében is csak azon felhasználóknál jelentett veszélyt, akik az ahhoz tartozó böngészőplugint is telepítették. A cég egyébként múlt pénteken, a 11.4-es szoftververzióban javította a szóban forgó bugot, egy nappal azután, hogy Ormandy beszámolt arról. Erősen kérdéses ugyanakkor, hogy a most felbukkant sérülékenység valóban független lenne a 16 hónappal ezelőttitől, figyelembe véve, hogy azt a Ormandy lényegében erőfeszítés nélkül, az ismert nyomvonalon elindulva találta meg - de az is felvet kérdéseket, hogy ha a cég tudott a korábbi bugról, hogy kerülhette el a mostani sebezhetőség a figyelmét saját termékében.

xA biztonsági rés, amely 8 napon keresztül volt kihasználható, értelemszerűen nem érintett minden Windows 10 felhasználót, csak azokat, akik a Keeper Password Managert használták, az említett pluginnal együtt. Az Ars Technica intézett egy megkeresést a Microsoft felé azzal kapcsolatban, hogy a harmadik féltől származó, a rendszerrel egybecsomagolt appok milyen biztonsági ellenőrzéseken esnek át, a cég azonban ezzel kapcsolatban nem adott információt. A vállalat egy közleményben mindössze annyit mondott, tudnak a problémáról, a fejlesztő pedig már megkezdte a szükséges frissítések kiküldését.

Az eddigiek alapján az sem világos, hogy a renitens jelszókezelőt a Microsoft pontosan milyen esetekben csomagolja operációs rendszere mellé. Az Ormandy által a Microsoft Developer Networkről beszerzett példány elsősorban fejlesztőket céloz, ugyanakkor ahogyan az az ügy kapcsán indult Reddit beszélgetésből kiderül, [4]egyes esetekben új, Windowst futtató notebookokon, illetve egy Windows 10 Prót futtató virtuális gép esetében is felbukkant a kéretlen szoftver. Jelen állás szerint ugyanakkor a jelszókezelő felhasználóinak sincs okuk aggodalomra, legalábbis ha a legfrissebb, 11.4-es verziót használják, azzal kapcsolatban ugyanakkor a Microsoft részéről lenne helye részletesebb felvilágosításnak, hogy pontosan milyen ellenőrzéseken mennek keresztül a rendszere mellé csomagolt alkalmazások.

A cikkben hivatkozott linkek:
[1] https://bugs.chromium.org/p/project-zero/issues/detail?id=1481&desc=3
[2] https://lock.cmpxchg8b.com/keepertest.html
[3] https://arstechnica.com/information-technology/2017/12/microsoft-is-forcing-users-to-install-a-critically-flawed-password-manager/
[4] https://www.reddit.com/r/Windows10/comments/6dpj78/keeper_password_manager_comes_preinstalled_now/
A cikk adatai:
//www.hwsw.hu/hirek/58213/keeper-biztonsagi-res-jelszokezelo-windows.html
Író: Hlács Ferenc (feradyr@gmail.com)
Dátum: 2017. december 18. 16:00
Rovat: vállalati it