Windows 10 Anniversary Update instaluje oprogramowanie bez zgody użytkownika

Wraz z Windows 10 Anniversary Update (wersja 1607) Microsoft wprowadził nową funkcjonalność do Content Delivery Manager, komponentu wcześniej wykorzystywanego głównie do sugerowania użytkownikom aplikacji w menu Start czy wyświetlaniu im ładnych obrazków na ekranie logowania. Pozwala ona na zdalne instalowanie użytkownikom przeróżnego oprogramowania – i to bez żadnej interakcji z jej strony. Niepokojące? Czytajcie dalej. Pół roku temu w ten sposób Microsoft zainstalował menedżera haseł Keeper, firmy Keeper Security Inc. Teraz Tavis Ormandy, słynny ekspert Google’a od bezpieczeństwa oprogramowania, zademonstrował, jak dowolna strona internetowa może z Keepera wykraść wszystkie hasła użytkownika.

W założeniu Content Delivery Manager miał preinstalować aplikacje w systemie Windows 10, bazując na znanych Microsoftowi upodobaniach użytkownika. W ten sposób można było dostać np. Adobe Photoshopa Express, Netflixa czy nawet Farmville. Wybór zależał najpewniej od porozumień partnerskich, jakie Microsoft zawarł z producentami oprogramowania. Mechanizm dystrybucji wydawał się niezawodny – zwykły użytkownik praktycznie nie miał jak uniknąć tych niechcianych korzyści, by wyłączyć ich instalację, musiał ingerować w Rejestr.

Tak właśnie na komputery użytkowników trafił Keeper, program do zarządzania hasłami, co do którego Tavis Ormandy miał już wcześniej zastrzeżenia. W zeszłym roku odkrył on, że jego rozszerzenie przeglądarkowe wstrzykuje swój zaufany interfejs w niezaufane strony, co pozwalało uzłośliwionej stronie na wykradnięcie hasła poprzez niewidoczny formularz. Luka ta została załatana w wersji 10.1.3 aplikacji… choć łatka była dość specyficzna. Po prostu usunięto funkcje wyszukiwania i dodawania hasła do istniejącego rekordu, które można było wykorzystać do ataku.

Teraz Ormandy znów sobie przypomniał o Keeperze. Odkrył, że znów Keeper robi to samo – w wersji dostarczanej dla nie mających wyboru użytkowników Windowsa 10. Wystarczyło zmienić selektory i stary atak znów działał. Okazał jednak deweloperom menedżera łaskę i poinformował ich z wyprzedzeniem. Zespół Keepera wydał poprawkę (w wersji 11.4.4 aplikacji) po otrzymaniu jego zgłoszenia. Jak pisze Craig Lurey, dyrektor techniczny Keeper Security, znów zrobiono to samo co wcześniej – usunięto funkcję dodawania hasła do istniejącej witryny, podjęto też starania by ponownie ta podatność się nie ujawniła.

Zespół bezpieczeństwa Keepera podkreśla, że odkryta przez Ormandy’ego luka nie została wykorzystana w atakach, jednak wszelkie takie zgłoszenia traktuje bardzo poważnie, ponieważ bezpieczeństwo i ochrona danych użytkowników jest priorytetem dla firmy.

Tymczasem Content Delivery Manager wciąż działa, instalując w tle oprogramowanie użytkownikom Windowsa 10. Jeśli chcecie wyłączyć tę funkcję, musicie uruchomić edytor Rejestru (regedit.exe), następnie dostać się do klucza HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ContentDeliveryManager, a następnie zmienić wartość SilentInstalledAppsEnabled na 0.

 

źródło: dobreprogramy.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *