Nếu máy tính của bạn đang chạy Windows 10, thì nhiều khả năng nó đã được cài sẵn ứng dụng quản lý mật khẩu của bên thứ ba, cho phép hacker đánh cắp tất cả thông tin quan trọng của bạn từ xa.
Bắt đầu từ Phiên bản Windows 10 Version.1607, Microsoft đã bổ sung một tính năng mới gọi là Trình quản lý phân phối nội dung – đã tự động cài đặt “Ứng dụng được đề xuất” mà không cần sự cho phép của người dùng.
Theo một bài viết trên Chromium Blog, nhà nghiên cứu Tavis Ormandy của Google Project Zero cho biết, ông đã phát hiện một Trình quản lý mật khẩu nổi tiếng được cài đặt sẵn, gọi là “Keeper“, trên hệ thống Windows 10 mà ông vừa tải trực tiếp từ Microsoft Developer Network.
Ngoài Ormandy, một số người dùng Reddit cũng chú ý đến ứng dụng Keeper này từ 6 tháng trước, một trong số đó còn cho biết Keeper đã được cài đặt cả trên máy ảo được tạo bằng Windows 10 Pro.
Lỗ hổng nghiêm trọng trong Trình quản lý mật khẩu Keeper
Khi biết chắc rằng ứng dụng này được cài đặt mặc định trên Windows 10, Ormandy đã bắt đầu kiểm tra phần mềm và không mất nhiều thời gian để phát hiện ra một lỗ hổng nghiêm trọng cho phép bất kỳ trang web nào cũng có thể đánh cắp mật khẩu của người dùng.
Lỗ hổng bảo mật trong Keeper lần này gần giống với lỗ hổng mà Ormandy đã phát hiện cũng trên cùng plugin Keeper và báo cáo vào tháng 8/2016, cũng cho phép các trang web độc hại đánh cắp mật khẩu người dùng.
Để giải thích mức độ nghiêm trọng của lỗ hổng, Ormandy đã tạo ra một website giả mạo nhằm đánh cắp mật khẩu của người dùng Twitter nếu mật khẩu này được lưu trữ bằng Keeper.
Cài đặt bản cập nhật của Trình quản lý mật khẩu Keeper
Sau khi Ormandy báo cáo về lỗ hổng này, các nhà phát triển Keeper đã phát hành bản vá trong phiên bản 11.4 mới phát hành vào ngày thứ sáu vừa qua bằng cách gỡ bỏ tính năng ” add to existing” dễ bị xâm nhập.
Vì lỗ hổng này chỉ ảnh hưởng đến phiên bản Keeper 11 (phát hành vào 6/12), được xem như một bản cập nhật mở rộng trình duyệt chính, nên nó khác với phiên bản mà Ormandy đã báo cáo cách đây 6 tháng. Keeper cũng cho biết công ty không phát hiện bất kỳ cuộc tấn công nào dựa vào lỗ hổng này trong thực tế.
Ormandy nói rằng người dùng Windows 10 sẽ không dễ bị đánh cắp mật khẩu trừ khi họ mở Keeper và cho phép phần mềm này lưu trữ mật khẩu của mình. Tuy nhiên, Microsoft vẫn cần giải thích về cách thức mà Trình quản lý mật khẩu Keeper được cài đặt sẵn trên máy tính của người dùng trong khi họ không biết gì về điều này.
Hiện tại, người dùng có thể tuỳ chỉnh vô hiệu hoá chức năng Trình quản lý phân phối nội dung để ngăn việc Microsoft tự động cài đặt các ứng dụng ngoài ý muốn trên máy tính cá nhân của mình.
