Windows 10 nasconde un password manager vulnerabile

Alcune copie di Windows 10 hanno ospitato per otto giorni un password manager di terze parti in grado di esporre in chiaro tutte le chiavi registrate al suo interno. Il software in questione, chiamato Keeper, presentava infatti un bug in un plugin per browser che lasciava campo aperto all’azione di siti malevoli: delle pagine Web create ad hoc avrebbero quindi potuto accedere a tutte le password. Lo strumento, la cui falla è stata scoperta dal ricercatore di Google Tavis Ormandy, è comparso dopo che l’esperto di sicurezza aveva creato da zero una nuova macchina virtuale Windows 10 utilizzando l’immagine del sistema operativo diffusa via Msdn, il Microsoft Developer Network. Ormandy ha scoperto il bug indagando su Keeper, che appariva come tool nativo dell’ecosistema di Redmond e ha pensato che “l’errore” riguardasse soltanto le immagini di Windows 10 pensate per la rete di sviluppatori.

Documentandosi in Rete, il ricercatore ha però scoperto dei post di Reddit vecchi di mesi, con cui diversi utenti facevano notare la comparsa del software anche dopo un’installazione pulita del sistema operativo. È probabile che l’installazione automatica di Keeper (che riguarda comunque solo una percentuale minima di casi) avvenga a causa di un accordo di bundling siglato fra Microsoft e l’azienda omonima che sviluppa il prodotto.

La vulnerabilità, che Ormandy ritiene essere la stessa scovata ben 16 mesi fa nella versione standalone della soluzione, è stata poi risolta da Keeper a 24 ore dalla segnalazione con il rilascio della versione 11.4.4 del software. Secondo la società, comunque, il bug segnalato in questi giorni dal ricercatore sarebbe diverso da quello dell’anno scorso. Tutti i clienti che utilizzano il plugin su Edge, Chrome e Firefox hanno già ricevuto la release 11.4.4, mentre chi si appoggia a Safari deve procedere all’installazione manuale dal sito di Keeper.