Trình quản lý mật khẩu trên Windows 10 cho phép hacker đánh cắp mật khẩu người dùng

Nếu máy tính của bạn đang chạy Windows 10, thì nhiều năng lực nó đã được cài sẵn ứng dụng quản trị mật khẩu của bên thứ ba, được cho phép hacker đánh cắp tổng thể thông tin quan trọng của bạn từ xa .

Bắt đầu từ Phiên bản Windows 10 Version.1607, Microsoft đã bổ sung một tính năng mới gọi là Trình quản lý phân phối nội dungđã tự động cài đặt “Ứng dụng được đề xuất” mà không cần sự cho phép của người dùng.

Theo một bài viết trên Chromium Blog, nhà nghiên cứu Tavis Ormandy của Google Project Zero cho biết, ông đã phát hiện một Trình quản lý mật khẩu nổi tiếng được cài đặt sẵn, gọi là “Keeper“, trên hệ thống Windows 10 mà ông vừa tải trực tiếp từ Microsoft Developer Network.

Ngoài Ormandy, một số ít người dùng Reddit cũng chú ý quan tâm đến ứng dụng Keeper này từ 6 tháng trước, một trong số đó còn cho biết Keeper đã được setup cả trên máy ảo được tạo bằng Windows 10 Pro .

Lỗ hổng nghiêm trọng trong Trình quản lý mật khẩu Keeper

Khi biết chắc rằng ứng dụng này được cài đặt mặc định trên Windows 10, Ormandy đã bắt đầu kiểm tra phần mềm và không mất nhiều thời gian để phát hiện ra một lỗ hổng nghiêm trọng cho phép bất kỳ trang web nào cũng có thể đánh cắp mật khẩu của người dùng.

Lỗ hổng bảo mật thông tin trong Keeper lần này gần giống với lỗ hổng mà Ormandy đã phát hiện cũng trên cùng plugin Keeper và báo cáo giải trình vào tháng 8/2016, cũng được cho phép những website ô nhiễm đánh cắp mật khẩu người dùng .
Để lý giải mức độ nghiêm trọng của lỗ hổng, Ormandy đã tạo ra một website trá hình nhằm mục đích đánh cắp mật khẩu của người dùng Twitter nếu mật khẩu này được tàng trữ bằng Keeper .

Cài đặt bản cập nhật của Trình quản lý mật khẩu Keeper

Sau khi Ormandy báo cáo về lỗ hổng này, các nhà phát triển Keeper đã phát hành bản vá trong phiên bản 11.4 mới phát hành vào ngày thứ sáu vừa qua bằng cách gỡ bỏ tính năng ” add to existing” dễ bị xâm nhập.

Vì lỗ hổng này chỉ ảnh hưởng đến phiên bản Keeper 11 (phát hành vào 6/12), được xem như một bản cập nhật mở rộng trình duyệt chính, nên nó khác với phiên bản mà Ormandy đã báo cáo cách đây 6 tháng. Keeper cũng cho biết công ty không phát hiện bất kỳ cuộc tấn công nào dựa vào lỗ hổng này trong thực tế.

Ormandy nói rằng người dùng Windows 10 sẽ không dễ bị đánh cắp mật khẩu trừ khi họ mở Keeper và cho phép phần mềm này lưu trữ mật khẩu của mình. Tuy nhiên, Microsoft vẫn cần giải thích về cách thức mà Trình quản lý mật khẩu Keeper được cài đặt sẵn trên máy tính của người dùng trong khi họ không biết gì về điều này.

Hiện tại, người dùng hoàn toàn có thể tuỳ chỉnh vô hiệu hoá tính năng Trình quản trị phân phối nội dung để ngăn việc Microsoft tự động hóa thiết lập những ứng dụng ngoài ý muốn trên máy tính cá thể của mình .