黑客通过Windows 10上的预安装密码管理器窃取你所有密码

如今Windows 10的市场占有率已经超过31%，如果你的PC上运行的是Windows 10，那么你的计算机有可能包含一个预安装的第三方密码管理器应用程序，这使得攻击者可以远程窃取你的所有凭据。

从Windows10更新版本1607开始，Microsoft添加了一项名为ContentDeliveryManager的新功能，再不询问用户的同意前提下，该功能属于默默安装新的“建议应用程序”。

根据某国外博客上周五发表的一篇博客文章，Google Project Zero研究员Tavis Ormandy表示，他在刚刚安装的Windows10系统上找到了一个名为“Keeper”的预装的密码管理器，它直接从Microsoft Developer Network下载。

当然Ormandy并不是唯一一个注意到Keeper Password Manager的人。一些Reddit用户在六个月前就已经抱怨隐藏的密码管理器，其中一个报告说Keeper被安装在用Windows10Pro创建的虚拟机上。

密码管理器中的严重缺陷

当知道第三方密码管理器现在默认安装在Windows10上，Ormandy就开始测试这个软件，发现一个严重的漏洞，导致“彻底危害Keeper安全，允许黑客窃取网站任何密码”。

Ormandy道： “人们真的告诉我如何使用一个微不足道的密码管理器，通过远程根目录来分享你的每个网站的密码，这些信息是我不愿意听到的。”

Keeper Password Manager中的安全漏洞与2016年8月在同一个Keeper插件的非捆绑版本中发现并报告的几乎相同，这使得恶意网站窃取密码成为可能。

“我检查了一下，他们又一次用这个版本做同样的事情，我觉得我很慷慨地认为这个新的问题有资格做90天的披露，因为我实际上只是改变了选择器和相同的攻击工作， “Ormandy说。

为了解释错误的严重性，Ormandy还提供了一个工作验证概念（PoC） ，如果用户的Twitter密码存储在Keeper应用程序中，则通过漏洞会被窃取。

安装更新的Keeper密码管理器

Ormandy向Keeper的开发者报告了这个漏洞，同时他们承认了存在的这个问题，并且在周五刚刚发布的11.4版本中，发布了一个修补程序， 删除了易受攻击的“添加到现有的”功能。

由于该漏洞仅影响Keeper应用程序的11版本，该应用程序于12月6日作为主要浏览器扩展更新发布，因此该漏洞与六个月前报告的漏洞不完全相同。Keeper的开发者补充说，该公司之前并没有意识到任何使用这个安全漏洞的攻击可能。

至于Windows10的用户，Ormandy表示用户不会受到密码窃取的威胁，除非他们打开Keeper密码管理器并启用该软件来存储他们的密码。但是，微软仍然需要解释如何在不知情的情况下，在用户计算机上安装Keeper密码管理器这一事实。

同时，用户可以使用注册表来配置禁用Content Delivery Manager，以防止Microsoft在其PC上无声安装不需要的应用程序。