Предварително инсталираният в Windows 10 мениджър за пароли Keeper има ужасяващо некадърен бъг, който позволява излагането и открадването на всички запазени в него пароли.
Още преди 16 месеца разработчикът Tavis Ormandy от Google Project Zero открива бъг при Keeper, който позволява инжектирането на доверения потребителски интерфейс на Keeper в недоверени уеб сайтове, което позволява открадването на всички пароли чрез технологията clickjacking от страна на сайтовете.
Сега Ormandy с изненада открива, че от Майкрософт са инсталирали по подразбиране в Windows 10 същия мениджър за пароли Keeper, със същия опасен и недопустим бъг.
Разработчикът обяснява, че наскоро е инсталирал във виртуална машина Windows 10 от чисто копие, придобито от MSDN и е видял, че Keeper идва по подразбиране. Той установява, че в Keeper има друг подобен на открития преди това от него бъг, но също толкова опасен.
Ormandy е изпратил доказателство на разработчиците и показва как се открадва парола от Twitter акаунт (на снимката). След като публикува бъга, разработчиците на Keeper запушват дупката в сигурността за 24 часа, като кръпката е имплементирана в актуализация на програмата към нова версия 11.3, която идва като ъпдейт.
Този бъг отново показва проблемите пред които са изправени от Майкрософт, когато решат да си партнират с производители на софтуер от трети страни и предоставянето на предварително инсталирани приложения. Очевидно е, че контрол по качеството и сигурността в това отношение почти липсват.
За щастие, поне ако може да се вярва на думите на разработчиците на Keeper, няма пострадали от тази уязвимост в техния продукт.
