Windows 10上预装的密码管理器允许黑客窃取您的所有密码

从Windows 10周年纪念更新（1607版）开始，微软增加了一个名为Content Delivery Manager的新功能，该功能可以在不请求用户许可的情况下静默安装新的“建议应用”。

根据Chromium博客上周五发布的一篇博文，Google Project Zero研究员塔维斯·奥曼迪（Tavis Ormandy）说，他在新安装的Windows 10系统上发现了一个名为“Keeper”的预装密码管理器，该系统是他直接从微软开发者网络下载的。

奥曼迪并不是唯一一个注意到管理员密码管理器的人。大约六个月前，一些Reddit用户抱怨了隐藏的密码管理器，其中一个用户报告说Keeper安装在使用Windows 10 Pro创建的虚拟机上。

Keeper密码管理器中存在严重漏洞

知道第三方密码管理器现在默认安装在Windows 10上，Ormandy开始测试该软件，不再发现导致“完全破坏Keeper安全，允许任何网站窃取任何密码”的关键漏洞

奥曼迪在推特上写道：“我不想听到，即使是一个拥有一个微不足道的远程根目录的密码管理器，在每个网站上共享你的所有密码，也比没有好。人们真的告诉我这一点。”。

Keeper Password Manager中的安全漏洞与2016年8月Ormandy在同一Keeper插件的非捆绑版本中发现并报告的漏洞几乎相同，该插件使恶意网站能够窃取密码。

奥曼迪说：“我检查了一下，他们在这个版本上又做了同样的事情。我认为我很慷慨地考虑到这是一个新的问题，符合90天披露的条件，因为我实际上只是改变了选择器，同样的攻击有效。”。

为了解释该漏洞的严重性，Ormandy还提供了一个有效的概念证明（PoC）漏洞，如果用户的Twitter密码存储在Keeper应用程序中，该漏洞会窃取用户的Twitter密码。

安装更新的Keeper密码管理器

Ormandy向Keeper开发人员报告了该漏洞，他们承认了这个问题，并在周五发布了刚刚发布的11.4版中的修复程序，删除了易受攻击的“添加到现有”功能。

由于该漏洞仅影响12月6日作为主要浏览器扩展更新发布的Keeper应用程序的第11版，因此该漏洞与Ormandy六个月前报告的漏洞不同。

Keeper还补充说，该公司没有注意到任何在野外使用此安全漏洞的攻击。

至于Windows 10用户，奥曼迪说，除非用户打开Keeper password manager并启用该软件来存储密码，否则他们不会受到密码盗窃的攻击。

然而，微软仍然需要解释如何在用户不知情的情况下将Keeper密码管理器安装到用户的计算机上。

同时，用户可以使用此注册表调整来禁用Content Delivery Manager，以防止Microsoft在其PC上悄悄安装不需要的应用程序。