Устанавливаемый в Windows 10 менеджер паролей Keeper критически уязвим

Олег Иванов 18 Декабря 2017 - 08:30

Домашние пользователи

...

Новая версия менеджера паролей Keeper, поставляемого бесплатно с новыми копиями Windows 10, содержит критическую ошибку. Тэвис Орманди (Tavis Ormandy), исследователь Google Project Zero, обнаруживший эту брешь, утверждает, что она не была исправлена в течение восьми дней.

«Я создал новую виртуальную машину с образом Windows 10 и обратил внимание на то, что в системе по умолчанию установлен сторонний менеджер паролей. Я потратил немного времени на то, чтобы найти критическую уязвимость в нем», — пишет Орманди.

Уточним, что ошибка была обнаружена в версии Keeper, установленной в новой копии Windows 10, загруженной из Microsoft Developer Network напрямую. А версия, поставляемая отдельно, содержит этот баг уже более года.

Эта уязвимость позволила эксперту внедрить доверенный пользовательский интерфейс в ненадежные веб-страницы через скрипт контента, как следствие, владельцы таких сайтов могут получить данные пользователей, используя кликджекинг (clickjacking) и аналогичные методы. В настоящее время подробности уязвимости не обнародованы, поскольку у вендора есть 90 дней для ее исправления.

«Я считаю, что поступаю великодушно, классифицируя эту уязвимость заслуживающей 90 дней на исправление. Хотя, по существу, эта брешь может привести к полной компрометации, она может позволить любому веб-сайту украсть любой пароль», — добавляет Орманди.

Чтобы обосновать свои выводы, эксперт опубликовал эксплойт, доказывающий концепт атаки, где демонстрируется, как сохраненный в приложении Keeper пароль от Twitter легко компрометируется.

Утверждается, что разработчики Keeper решили проблему в течение 24 часов после того, как Орманди поделился своими выводами. Они выпустили обновление версии Keeper 11.3.

Однако также фактом является то, что ошибка присутствовала в версии для Windows 10 в течение восьми дней, но здесь эксперт больше винит Microsoft, так как партнерство компании со сторонними производителями софта иногда приносит проблемы.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Услуги дропов серьезно дорожают

Яков Шпунт 27 Декабря 2024 - 15:17

Мошенничество Соответствие законодательству РФ Общее

Стоимость банковских карт, используемых для обналичивания денег и прочих сомнительных операций, выросла до 40 тыс. рублей, причем срок жизни не превышает банковский день. Еще несколько месяцев назад такая карта обходилась мошенникам не дороже 6 тыс. рублей.

Как рассказал РБК глава Службы финансового мониторинга и валютного контроля Банка России Богдан Шабля, таких результатов удалось достичь благодаря взаимодействию регулятора с банками.

«По нашим оценкам, за текущий год стоимость дропперской карты в последние месяцы выросла в пять-шесть раз — с 5-6 тыс. до 30-40 тыс. руб., а счета дропов сейчас приходится менять сотнями и тысячами в день, банки научились быстро их блокировать. Мы внедрили процедуры онлайн-контроля, использующие технологии искусственного интеллекта, быстро выявляющие операции дропов. В последние месяцы большинство крупных банков научились выявлять дропов в течение одного дня, а некоторые — в считаные минуты. В результате мы совместно с банками за этот год значительно продвинулись, объемы переводов между физлицами по счетам дропов к концу этого года снизились почти в три раза», — отметил Богдан Шабля.

Карты дропов активно используют теневые финансовые площадки. Одну из крупнейших таких платформ Trust2Pay недавно накрыли казанские полицейские. Ее услугами пользовались телефонные мошенники, наркоторговцы, организаторы подпольных казино и букмекерских контор.

Банк России отслеживает деятельность таких платформ, чтобы понимать новые приемы мошенников. Одним из новых является так называемый «прогрев» карты дропа, которую сразу после покупки используют по обычному сценарию — для покупки товаров и оплаты услуг.

И только через какое-то время постепенно начинают проводить с ней сомнительные операции. Как отметил Богдан Шабля, теневые платформы дробят платежи по разным банкам и объему, чтобы не привлекать внимание банков.

Ранее Богдан Шабля рассказал о планах по созданию централизованной платформы по отслеживанию подозрительных переводов физических лиц. Ее цель — сделать использование банковской системы для теневых платежей экономически нецелесообразным.

Другая задача, как отметил представитель Банка России, — донести до людей, что продажа карт не только аморальна, но и опасна: