Недавно исследователь Google Project Zero Тавис Орманди выявил в менеджере паролей Keeper критическую ошибку, сходную с той, которую он идентифицировал чуть более года назад в том же приложении.
Орманди обнаружил дыру в безопасности после того, как обратил внимание на то, что Keeper теперь установлен по умолчанию в Windows 10. Он вспомнил об уязвимости, о которой он сообщал в прошлом году, и сумел воспроизвести ту же атаку только с небольшими изменениями.
«Я слышал о Keeper, я помню, как некоторое время назад сообщал об ошибке, содержащейся в способе ввода пользовательского интерфейса на страницы», - сказал исследователь. «Я проверил, и они снова делают то же самое в этой версии».
Уязвимость затрагивает расширения Keeper’а для браузера, которые устанавливаются вместе с десктопным приложением. Дыра в безопасности позволяет злоумышленникам красть пароли, хранящиеся в приложении, создав для этого специальный веб-сайта и убедив пользователя зарегистрироваться на нем.
После сообщения Орманди в течение 24 часов Keeper выпустил патч. Исправление было развернуто с версией 11.4.4 и доставлено пользователям Edge, Chrome и Firefox через процесс автоматического обновления браузеров. Пользователям Safari необходимо будет вручную обновить расширение.
Компания заявила, что не было никаких доказательств злонамеренного использования Keeper’а и отметила, что недостатки в мобильных и настольных приложениях не пострадали.
Орманди предоставил подтверждающий эксплоит (PoC), который крадет пароль пользователя Twitter у Keeper’а.