Theo một số nhà nghiên cứu bảo mật của Google tiết lộ, họ phát hiện lỗ hổng nghiêm trọng trong chương trình quản lý mật khẩu trên Windows 10. Chuyên gia bảo mật Tavis Ormandy cho biết, anh phát hiện ra trên hệ điều hành Windows 10 mà anh tải về từ trang chủ Microsoft còn kèm theo cả ứng dụng quản lý mật khẩu được cài đặt sẵn có tên gọi là “Keeper”, tồn tại một lỗ hổng nghiêm trọng, cho phép bất cứ website độc hại nào cũng có thể đánh cắp dữ liệu của người dùng.
Phát hiện lỗ hổng nghiêm trọng trong chương trình quản lý mật khẩu trên Windows 10
Trên Windows 10, khi cài mật khẩu máy tính, hệ thống sẽ có một chương trình quản lý mật khẩu này của người dùng, và việc cài mật khẩu máy tính sẽ giúp bạn bảo vệ an toàn dữ liệu cho máy tính của mình,
Phiên bản Windows 10mà Microsoft bổ sung thêm ứng dụng quản lý mật khẩu được cài đặt sẵn, và được phát hiện chứa lỗ hổng nghiêm trọng. Chỉ trong thời gian ngắn, lỗ hổng này cho phép bất cứ website nào có thể đánh cắp dữ liệu của người dùng.
Keeper được tích hợp thêm trên một số trình cài đặt trên Windows 10 giống như plugin trình duyệt, và được phát hiện chứa các lỗ hổng tương tự mà Ormandy đã báo cáo gần 1.5 năm trước đây. Chỉ trong thời gian ngắn mật khẩu, dữ liệu của người dùng được lưu trữ trong Keeper có thể bị đánh cắp một cách dễ dàng.
Ormandy chia sẻ chi tiết thông tin về lỗ hổng trên Twitter:
Trên trang Project Zero, Ormandy cũng chia sẻ:
“Gần đây tôi đã tạo một mát ảo Windows 10 mới với image nguyên sơ từ MSDN, và phát hiện ra trình quản lý mật khẩu có tên gọi là “Keeper” được cài đặt mặc định. Tôi không phải là người duy nhất phát hiện ra điều này.
“Tôi cho rằng đây là một số thỏa thuận với Microsoft. Tôi đã nghe nói về Keeper, và nhớ không nhầm trước đây đã từng báo cáo một lỗ hỗng về cách mà lỗ hổng này tiêm UI được đặc quyền vào các trang (số 917). Tôi đã kiểm tra và lỗ hổng mới này cũng hoạt động tương tự như thế. Tôi nghĩ rằng chỉ cần thay đổi selector và các cuộc tấn công tương tự sẽ xảy ra. Tuy nhiên nó là một thỏa hiệp bảo mật hoàn toàn của Keeper, cho phép bất kỳ wbsite nào cũng có thể đánh cắp mật khẩu của người dùng”.
Sau khi nhận thức được vấn đề, các nhà phát triển của Keeper đã phát hành bản vá lỗi trong vòng 24 giờ, và cho biết:
“Lỗ hổng tiềm năng này yêu cầu người dùng Keeper phải truy cập trang web độc hại trong quá trình đăng nhập phần mở rộng của trình duyệt, sau đó giả vờ người dùng nhập bằng cách sử dụng kỹ thuật “clickjacking” để thực hiện mã đặc quyền trong phần mở rộng trình duyệt”.
Để bảo vệ thiết bị của mình, người dùng nên tự trang bị một phần mềm diệt virus, bảo vệ hệ thống 24/24 như KS, AVAST hay BKAV, đây đều là những phần mềm diệt virus hiệu quả đã được kiểm định tại nhiều quốc gia trên thế giới.
Trong quá trình sử dụng, nếu bạn quên mật khẩu đăng nhập máy tính, hãy tham khảo cách đăng nhập máy tính khi quên mật khẩu mà Taimienphi đã cung cấp để có cách khắc phục tốt nhất nhé.
Hiện, có rất nhiều chương trình, ứng dụng vấp phải sử phản đối của người dùng khi ông đủ an toàn. Không chỉ Keeper, mà sau khi Mozilla sử dụng lại add-on gây tranh cãi Looking Glass cũng đã khiến người dùng lo sợ về những lổ hổng bảo mật trên những tiện ích này.