Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in Keeper ontdekt, een met Windows 10 gebundelde wachtwoordmanager. Via de kwetsbaarheid zou een kwaadaardige of gehackte website alle in Keeper opgeslagen wachtwoorden kunnen stelen. Alleen het bezoeken van een dergelijke website met een kwetsbare versie van Keeper zou voldoende zijn.
Ruim een jaar geleden had Ormandy het nagenoeg zelfde beveiligingslek in Keeper aangetroffen, dat destijds door de ontwikkelaar werd gepatcht. Onlangs ontdekte Ormandy in een schone Windows 10-installatie dat ook de Keeper-wachtwoordmanager was geïnstalleerd. Windows 10-gebruikers op Reddit maakten eerder dit jaar al melding van de aanwezigheid van Keeper, die standaard lijkt te worden mee-geïnstalleerd.
Het duurde niet lang voordat Ormandy een ernstig lek in de wachtwoordmanager had gevonden. De kwetsbaarheid die de onderzoeker vorig jaar ontdekte bleek ook in de Windows 10-versie aanwezig te zijn. Een kleine aanpassing aan zijn exploit van vorig jaar was genoeg om in Keeper opgeslagen wachtwoorden te stelen. Na te zijn ingelicht kwam de ontwikkelaar binnen 24 uur met een update die onder gebruikers werd uitgerold. Op deze website geeft Ormandy een demonstratie van de kwetsbaarheid.
Het is niet voor het eerst dat de onderzoeker ernstige kwetsbaarheden in wachtwoordmanagers vindt. Eerder was dit al het geval bij de programma's Dashlane en Lastpass. Op Twitter haalt Ormandy dan ook uit naar dergelijke software. "Ik wil niet horen dat zelfs een wachtwoordmanager met een eenvoudige remote root die al je wachtwoorden met elke website deelt beter is dan niets. Er zijn mensen die dit echt tegen me zeggen", merkt de onderzoeker op. "Iedereen wil dat er eenvoudige antwoorden zijn als het om security gaat, maar soms zijn die er niet."
Deze posting is gelocked. Reageren is niet meer mogelijk.