خطأ فادح في Keeper ، مدير كلمات مرور Windows 10

Keeper هو اسم مدير كلمات مرور Windows 10 الذي يأتي مجانيًا مع كل نسخة جديدة من Windows 10. لسوء الحظ ، تم تحديد عيب خطير من قبل الباحث في مشروع Google Zero Travis Ormandy في الإصدار الجديد من Keeper ولم يتم تصحيحه بواسطة ما يقرب من ثمانية أيام.

Keeper هو مدير كلمات مرور مجاني لـ Windows 10

'' لقد أنشأت Windows 10 VM جديدًا مع صورة نقية من MSDN ولاحظت أنه يتم تثبيت مدير كلمات مرور تابع لجهة خارجية بشكل افتراضي. لم يكن الأمر يستغرق وقتًا طويلاً للعثور على ثغرة خطيرة ، " هذا ما قاله أورماندي.

تم العثور على خطأ Keeper في نسخة حديثة من Windows 10 تم تنزيلها من شبكة مطوري Microsoft ، في حين أن الإصدار غير المتضمن من هذا التطبيق قد تعرض بالفعل لهذا الخطأ لأكثر من عام.

بسبب هذا الفشل ، التطبيق كنت أقوم بإدخال واجهة مستخدم موثوق بها في صفحات الويب غير الموثوق بها من خلال نص برمجي للمحتوى ، ونتيجة لذلك ، تمكنت مواقع الويب من سرقة بيانات اعتماد المستخدم باستخدام clickjacking وغيرها من التقنيات المماثلة.

لاختبار نتائجهم ، أصدر Ormandy أيضًا برمجية إكسبلويت لإثبات المفهوم ، والتي أظهرت أنه عندما قام مستخدم بحفظ كلمة مرور Twitter الخاصة به في تطبيق Keeper ، كان من السهل سرقتها. قام مطورو مدير كلمات المرور هذا بحل المشكلة في غضون 24 ساعة بعد مشاركة Ormandy للنتائج التي توصلوا إليها. لقد أصدروا أيضًا تحديثًا تلقائيًا للإصدار 11.3 من التطبيق.

يدعي مطورو Keeper أنه لم تتأثر أي من امتدادات التطبيق ، ولكن صحيح أن الخطأ بقي هناك لمدة ثمانية أيام.

خط القرصنة