Er is een bug in een wachtwoordmanager voor Windows 10 gevonden, waardoor aanvallers wachtwoorden kunnen stelen. Security-onderzoeker Tavis Ormandy van Google meldt over de bevindingen. Het gaat om de wachtwoordmanager Keeper, een programma van een derde partij die standaard geïnstalleerd is op Windows 10-apparaten.

Ormandy ontdekte de kwetsbaarheid na het maken van een nieuwe Windows 10 VM. Hij zag dat Keeper standaard geïnstalleerd is. In zijn mededeling meldt de onderzoeker dat hij niet de enige is die op deze installatie stuitte. Zo schrijven verschillende gebruikers op Reddit over hetzelfde probleem. ToppestOfDogs geeft bijvoorbeeld aan dat hij Windows 10 opnieuw installeerde en vervolgens de standaard apps verwijderde. Ook hij trof Keeper Password Manager aan.

De Google-onderzoeker lichtte de makers in over de bug, waarna zij 90 dagen de tijd krijgen om de kwetsbaarheid te repareren. Als de deadline niet gehaald wordt, dan deelt Ormandy de details met het publiek. Dit is een gebruikelijke manier van werken binnen de industrie. Keeper heeft laten weten dat het lek al gedicht is door een update uit te rollen.

Oplossing

In zijn blog geeft Keeper aan dat het ingelicht is over de potentiële kwetsbaarheid. Hiervoor moest een gebruiker gelokt worden naar een malafide website terwijl hij ingelogd is met de browser-extensie. Daarna is vervalste gebruikersinput vereist door gebruik te maken van clickjacking en/of malafide code-injectietechnieken, om code met voorrecht uit te voeren binnen de browser-extensie.

Keeper kwam binnen 24 uur met een oplossing. Gebruikers van de extensie op Edge, Chrome of Firefox ontvingen versie 11.4.4 of hoger via hun browser-extensie updateproces. Voor de Safari-variant geldt dat er handmatig geüpdatet moet worden, door naar de downloadpagina te gaan. Mobiele apps zijn niet getroffen en Keeper heeft niets vernomen eventuele slachtoffers. Toch roept het bedrijf klanten op contact te zoeken met de security-afdeling als er vragen rondom de kwetsbaarheid zijn.