ข้อบกพร่องในส่วนขยายเบราว์เซอร์ของ Keeper ทำให้เว็บไซต์ใดๆ ก็ตามสามารถขโมยรหัสผ่านของผู้ใช้ทั้งหมดได้ การแก้ไขได้รับการเผยแพร่ตั้งแต่นั้นมา
นับตั้งแต่การมาถึงของ Windows 10 Microsoft ได้ตัดสินใจติดตั้งซอฟต์แวร์บุคคลที่สามล่วงหน้าในระบบปฏิบัติการโดยไม่ต้องถามความคิดเห็นของผู้ใช้จริงๆ ด้วย Keeper ซึ่งเป็นผู้จัดการรหัสผ่าน ผู้เผยแพร่จึงตัดสินใจได้แย่มาก ซอฟต์แวร์ตกไปอยู่ในมือของทาวิส ออร์ม็องดีนักวิจัยด้านความปลอดภัยที่น่าเกรงขามจาก Google Project Zero ในเวลาไม่นาน เขาก็พบข้อบกพร่องด้านความปลอดภัย“เล็กน้อย”ซึ่งช่วยให้“ขโมยรหัสผ่านจากเว็บไซต์ใด ๆ”ในผู้จัดการ
https://twitter.com/taviso/status/941710362717470720
เพื่อเป็นการพิสูจน์ ผู้เชี่ยวชาญจึงโพสต์กหน้าสาธิตสามารถขโมยรหัสผ่านของบัญชี Twitter ได้ ในการดำเนินการนี้ ต้องใช้โค้ด Javascript ซึ่งจะแทรกเนื้อหาลงในแบบฟอร์มการตรวจสอบสิทธิ์ ตรวจสอบความถูกต้อง จากนั้นใช้ฟังก์ชันของส่วนขยาย Keeper เพื่อเข้าถึงโค้ดลับ
ผู้จัดพิมพ์ตอบสนองอย่างรวดเร็วด้วยการปิดใช้งานฟังก์ชันดังกล่าวในส่วนขยายเวอร์ชันล่าสุด (11.4.4) ตามผู้รักษาประตูการอัปเดตถูกส่งไปยัง Edge, Chrome และ Firefox โดยอัตโนมัติ ในทางกลับกัน ผู้ใช้ Safari จะต้องอัปเดตด้วยตนเอง ตามที่ผู้จัดพิมพ์ระบุว่าไม่มีผู้ใช้คนใดถูกแฮ็กผ่านข้อบกพร่องนี้
นี่ไม่ใช่ครั้งแรกที่ Tavis Ormandy ปักหมุดตัวจัดการรหัสผ่านนี้ ในปี 2559 ได้เน้นย้ำถึงข้อบกพร่องที่เทียบเคียงได้มากในส่วนขยายเบราว์เซอร์“ฉันแค่เปลี่ยนตัวเลือกและการโจมตีแบบเดิมก็ใช้งานได้อีกครั้ง”เขาเน้นย้ำ ซึ่งไม่น่าอุ่นใจเลยจริงๆ
ในอดีตผู้วิจัยยังได้ตรวจพบชุดของข้อบกพร่องที่สำคัญใน Lastpassผู้จัดการรหัสผ่านอื่น ในส่วนของเขา เขาแนะนำให้ใช้ซอฟต์แวร์โอเพ่นซอร์ส KeePass ซึ่งเขาถือว่าเป็น" ปลอดภัย ".
https://twitter.com/taviso/status/941753753119715334
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
