自從Windows 10到來以來,微軟就決定在其作業系統中預先安裝第三方軟體,而沒有真正徵求用戶的意見。對於密碼管理器 Keeper,發行商做出了一個非常糟糕的選擇。該軟體落入了塔維斯·奧曼迪,來自 Google 零號計畫的強大安全研究員。他很快就發現了一個安全漏洞“瑣碎的”這允許“從任何網站竊取任何密碼”在經理中。
https://twitter.com/taviso/status/941710362717470720
為了證明這一點,專家發了一張演示頁面能夠竊取 Twitter 帳號的密碼。為此,它依賴 Javascript 程式碼,該程式碼將內容注入到身份驗證表單中,對其進行驗證,然後使用 Keeper 擴充功能的功能來存取密碼。
發布者迅速做出反應,在最新版本的擴充 (11.4.4) 中停用了相關功能。根據守護者,更新已自動推送到 Edge、Chrome 和 Firefox。另一方面,Safari 用戶必須手動更新。據發布者稱,顯然沒有用戶因該缺陷而遭到駭客攻擊。
這並不是 Tavis Ormandy 第一次固定此密碼管理器。 2016 年,它已經強調了其瀏覽器擴充功能中的一個非常相似的缺陷。“我只改變了選擇器,同樣的攻擊再次起作用”,他強調。這實在讓人不放心。
過去,研究人員還發現了一系列Lastpass 的嚴重缺陷,另一個密碼管理器。就他而言,他建議使用開源 KeePass 軟體,他認為該軟體「 安全的 」。
https://twitter.com/taviso/status/941753753119715334
