Windows 10 zawierał menadżer haseł z krytyczną luką w zabezpieczeniach

Przez ok. 8 dni niektóre wersje Windowsa 10 po kryjomu instalowane były wraz z menadżerem haseł, który zawierał krytyczną lukę w swojej przeglądarkowej wtyczce. Luka ta była niemal identyczna jak odkryta przez specjalistów w tym samym menadżerze 16 miesięcy temu i pozwala stronom internetowym na kradzież haseł.

Tavis Ormandy z Google Project Zero napisał na swoim blogu, że Keeper Password Manager był preinstalowany na nowym systemie z Windows 10 pochodzącym bezpośrednio z Microsoft Developer Network. Testując niechcianą aplikację odkrył, że ta zawiera błąd, który "całkowicie naraża jej bezpieczeństwo, pozwalając dowolnej stronie na kradzież dowolnego hasła". Ormandy podkreślił, że odkrył tę lukę już 16 miesięcy temu we wtyczce przeglądarkowej Keepera, która nie była dołączana do systemu Microsoftu, ale stanowiła praktycznie identyczne zagrożenie. Wprowadzając jedynie drobne zmiany Ormandy udowodnił, że jego stary exploit, który stanowić miał dowód słuszności jego koncepcji (proof-of-concept), działał także na nowej wtyczce Keepera, wykradając hasła użytkowników Twiitera, które przechowywane są w aplikacji Keeper z włączoną wtyczką. Jej twórcy szybko zareagowali, tłumacząc, że nowy błąd różni się od tego sprzed 16 miesięcy i dotyczy jedynie aplikacji w wersji 11, która została opublikowana 6 grudnia. W piątek twórcy załatali oprogramowanie, 24 godziny po tym, jak Ormandy prywatnie poinformował ich o całej sprawie.

Sytuacja ta dobrze pokazuje dlaczego specjaliści ds. bezpieczeństwa często krytykują bloatware instalowany wraz z tak powszechnym oprogramowaniem jak system operacyjny

Na szczęście użytkownicy Windowsa 10 nie byli w tym wypadku narażeni na niebezpieczeństwo dopóki nie otworzyli aplikacji Keeper, powierzyli jej swoich haseł i zainstalowali wtyczki do przeglądarki. Nie zmienia to jednak faktu, że jeśli osoba z zewnątrz tak szybko znalazła lukę w oprogramowaniu, podobną do tej sprzed 16 miesięcy, to jej twórcy w ogóle nie powinni dopuścić do jej powstania. Microsoft oficjalnie nie chce powiedzieć jakie testy przeprowadza do zewnętrznych aplikacji zanim te są preinstalowane wraz z ich systemem, a warto odnotować też, że w niektórych przypadkach omawiana aplikacja ponownie instalowała się wbrew użytkownikowi, który ją usunął. Gigant z Redmond nie chce także wytłumaczyć, jakie warunki sprawiają, że komputery z Windowsem 10 instalują to oprogramowanie. W przypadku Ormandy'ego Keeper zainstalował się na wirtualnej maszynie stworzonej na bazie Windowsa dla deweloperów, ale na Reddicie przeczytać można o przypadkach instalowania aplikacji na laptopach, nawet dopiero co zakupionych, a także urządzeniach po reinstalacji OS na całkowicie wyczyszczonym sprzęcie. Jedna z osób podaje nawet, że w jej przypadku aplikacja pojawiła się na wirtualnej maszynie stworzonej z Windowsa 10 Pro.

Sytuacja ta dobrze pokazuje dlaczego specjaliści ds. bezpieczeństwa często krytykują bloatware instalowany wraz z tak powszechnym oprogramowaniem jak system operacyjny. Tego typu aplikacje przeważnie nie przechodzą bowiem rygorystycznych testów i w związku z tym mogą stanowić potencjalne zagrożenie dla użytkowników. Microsoft od początku Windowsa 10 ma pewne problemy z przejrzystością swojej polityki i firma powinna wyjaśnić w jaki sposób doszło do tej sytuacji z Keeperem oraz podać warunki w jakich ta oraz inne aplikacje są instalowane na naszych komputerach. Zapewne jednak są to marzenia ściętej głowy…