Windows 10 po cichu instalował menedżera haseł pozwalającego wykraść hasła

Wraz z Windows 10 Anniversary Update (wersja 1607) Microsoftwprowadził nową funkcjonalność do Content Delivery Manager,komponentu wcześniej wykorzystywanego głównie do sugerowaniaużytkownikom aplikacji w menu Start czy wyświetlaniu im ładnychobrazków na ekranie logowania. Pozwala ona na zdalne instalowanieużytkownikom przeróżnego oprogramowania – i to bez żadnejinterakcji z jej strony. Niepokojące? Czytajcie dalej. Pół rokutemu w ten sposób Microsoft zainstalował menedżera haseł Keeper,firmy Keeper Security Inc. Teraz Tavis Ormandy, słynny ekspertGoogle’a od bezpieczeństwa oprogramowania, zademonstrował, jakdowolna strona internetowa może z Keepera wykraść wszystkie hasłaużytkownika.

W założeniu Content Delivery Manager miał preinstalowaćaplikacje w systemie Windows 10, bazując na znanych Microsoftowiupodobaniach użytkownika. W ten sposób można było dostać np.Adobe Photoshopa Express, Netflixa czy nawet Farmville. Wybórzależał najpewniej od porozumień partnerskich, jakie Microsoftzawarł z producentami oprogramowania. Mechanizm dystrybucji wydawałsię niezawodny – zwykły użytkownik praktycznie nie miał jakuniknąć tych niechcianych korzyści, by wyłączyć ich instalację,musiał ingerować w Rejestr.

Tak właśnie na komputery użytkowników trafił Keeper, programdo zarządzania hasłami, co do którego Tavis Ormandy miał jużwcześniej zastrzeżenia. W zeszłym roku odkryłon, że jego rozszerzenie przeglądarkowe wstrzykuje swójzaufany interfejs w niezaufane strony, co pozwalało uzłośliwionejstronie na wykradnięcie hasła poprzez niewidoczny formularz. Lukata zostałazałatana w wersji 10.1.3 aplikacji… choć łatka była dośćspecyficzna. Po prostu usunięto funkcje wyszukiwania i dodawaniahasła do istniejącego rekordu, które można było wykorzystać doataku.

Teraz Ormandy znów sobie przypomniał o Keeperze. Odkrył, żeznów Keeper robi to samo – w wersji dostarczanej dla nie mającychwyboru użytkowników Windowsa 10. Wystarczyło zmienić selektory istary atak znów działał. Okazał jednak deweloperom menedżerałaskę i poinformował ich z wyprzedzeniem. Zespół Keepera wydałpoprawkę (w wersji 11.4.4 aplikacji) po otrzymaniu jego zgłoszenia.Jak piszeCraig Lurey, dyrektor techniczny Keeper Security, znów zrobiono tosamo co wcześniej – usunięto funkcję dodawania hasła doistniejącej witryny, podjęto też starania by ponownie ta podatnośćsię nie ujawniła.

Zespół bezpieczeństwa Keepera podkreśla, że odkryta przezOrmandy’ego luka nie została wykorzystana w atakach, jednakwszelkie takie zgłoszenia traktuje bardzo poważnie, ponieważbezpieczeństwo i ochrona danych użytkowników jest priorytetem dlafirmy.

Tymczasem Content Delivery Manager wciąż działa, instalując wtle oprogramowanie użytkownikom Windowsa 10. Jeśli chcecie wyłączyćtę funkcję, musicie uruchomić edytor Rejestru (regedit.exe),następnie dostać się do kluczaHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ContentDeliveryManager,a następnie zmienić wartość SilentInstalledAppsEnabled na 0.