A Windows 10 jelszómenedzser alkalmazásának hibája miatt a támadók távolról ellophatták a felhasználók összes, alkalmazásban tárolt jelszavát. Emellett az is kérdéseket vet fel, hogy a harmadik fél által fejlesztett alkalmazást a Microsoft miért telepíti megkérdezés nélkül a gépekre.

A Windows 10-est futtató számítógépeken a Keeper nevű jelszómenedzselő alkalmazás hibájára hívta fel blogbejegyzésében a figyelmet a Google Project Zero biztonsági szakembere, Tavis Ormandy. A kutató saját számítógépére telepítve találta meg az alkalmazást, amely közvetlenül a Microsoft Developer Network webhelyről érkezett a gépére.

Mindent kifecseg mindenkinek

A szakember már korábban is jelezte, hogy a Keeper Inc. által fejlesztett alkalmazás hibája miatt egy rosszindulatú weboldal a felhasználó összes jelszavát ellophatja, miután a szoftver az összes jelszót megosztja minden weboldallal. Innen egy lépés olyan scriptet írni egy rosszindulatú weboldalra, mely az összes jelszót megszerzi. A szakember a hibát demonstrálandó, egy Twitter jelszavakat ellopó weboldalt készített. Hogy az alkalmazás a milliónyi Windows 10 felhasználói számára vált elérhetővé, csak súlyosbítja a problémát.

A Windows 10 használóit csak akkor érinti a hiba, ha aktívan használják is a jelszómenedzser alkalmazást, attól, hogy ott van a gépen, még nem jelent veszélyt. Az már más tál tészta, hogy a Microsoft miért telepít a felhasználók tudta nélkül harmadik féltől származó alkalmazásokat a számítógépre. Ha ezt valakit nagyon zavar, a telepítésekért felelős Content Delivery Manager-t a registry-ből ki lehet iktatni, itt írják le hogyan.

Elhárították a hibát

A kutató a hibát időben jelezte a Microsoftnak, akik azóta már kijavították azt, a nemrég megjelent 11.4-es verzióból ki is irtották. A program fejlesztőjének adatai szerint ezt a hibát szerencsére egyetlen támadásban sem használták ki.

Aki viszont jelszómenedzselő alkalmazást használna, annak a G DATA Total Security  részét képező Jelszókezelő használatát javasoljuk.