首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Google员工在预装的Windows 10密码管理器中发现漏洞

故事背景

谷歌安全研究员Tavis Ormandy发现在预装的Windows 10系统中Keeper密码管理器(第三方应用)存在一些缺陷,导致系统存在安全漏洞——任何网站能够窃取用户密码(攻击者也可以通过Keeper获得密码)。

01

主角

导致win10被黑的主要原因是keeper密码管理器的漏洞。Ormandy在12月14日解释说:“我记得前一阵子提交了一个关于如何在页面中注入特权UI的bug。”我检查了一下,他们又用这个版本再次做同样的事情。虽然这不是Windows或者其他 微软 产品的安全漏洞,但是它确实暴露了Windows用户的细节,因为攻击者可以依靠Keeper窃取他们的密码。

Ormandy也发布了一个盗取Twitter密码的工作demo来演示这个漏洞,并解释说:“这是一个完全妥协的守门员安全,允许任何网站窃取任何密码。微软表示在Ormandy的帖子后不久就知道这个问题,并解释说应用程序的更新正在进行中。一位公司发言人说:我们知道这个第三方应用程序的报告,而开发者正在提供更新以保护客户。

02

紧急措施

Keeper密码管理器的开发公司已经认识到这个漏洞,并且发布了对版本11.4.4的更新来解决它。该公司表示,这个漏洞只能通过将用户引导到利用该缺陷的特制网站来利用,因此,在修补应用程序之前,远离可能对用户电脑构成威胁的链接是一种保持安全的简单方法。

该公司解释说:“这个潜在的漏洞要求Keeper用户在登录到浏览器扩展中时被诱骗到恶意网站,然后通过使用“clickjacking”技术来欺骗用户输入,以在浏览器扩展中执行特权代码。尽管Windows操作系统本身并不存在这个缺陷,但它再一次提出了微软将软件推向用户的策略,这个策略可能暴露出他们的数据。目前尚不清楚谁是Keeper预先安装的捆绑交易一部分,但好的一面是,用户可以卸载禁用这款软件。

03

什么是密码管理软件

密码管理软件是一种能够创建、储存、管理你所有网站、应用的密码的软件。有些管理软件甚至还有填表功能,能够在你访问那些网站时,自动帮你填写用户名和密码。

因此,使用了密码管理软件,你不用记忆也能够用上安全的密码。

04

密码管理软件如何工作

首先,密码管理软件会生成一个很长很复杂并且是独一无二的密码。然后他会把密码储存在加密的文件中,防止黑客物理接触你的电脑或手机之后知道密码。

这个加密的文件只能通过一个主密码访问。因此你只需要记忆一个主密码就能打开密码管理器获得其他密码了。

不过为了保证绝对安全,你的主密码起码应该得有16个字符。

05

如何选择密码管理器

Windows平台

Windows平台下优秀的密码管理器有:Keeper, Password Safe, LockCrypt, 1Password, and Dashlane.

Mac平台

Mac OS X平台优秀的密码管理器有: 1Password, Dashlane, LastPass, OneSafe, PwSafe.

Linux平台

Linux平台下优秀的密码管理器:SpiderOak Encryptr,EnPass,RoboForm

Android平台

Android平台优秀的密码管理软件包括:1Password, Keeper, DashLane, EnPass, OneSafe, mSecure和SplashID Safe。

iOS平台

iOS平台优秀的密码管理器有:OneSafe,

SplashID Safe,LoginBox Pro

吃瓜网友的评论

虽然不是微软自家的产品,但是供应商软件安全也要把关啊

对的,毕竟微软跟他们是合作性质,存在利益关系。

密码又泄露。。。

是的,这些供应商都是同一条船上的蚂蚱,一个存在漏洞,就有可能实现互相传染

google的工程师好厉害啊,走在网络的前沿

哈哈,是呢。好多漏洞都是谷歌的工程师先提出来的。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171220A0077W00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券