日前，Google 白帽黑客 Tavis Ormandy 表示，某些 Windows 10 系統中預裝了第三方密碼管理器應用程序，可能被黑客利用，遠程竊取用戶憑據。

　　據報道，從 Windows 10 周年更新（1607版本）開始，Microsoft 就在其操作系統中增加了一項名為 Content Delivery Manager 的新功能，該功能會暗中安裝新的“建議應用程序”，而不會通知用戶。

　　幾個月前，就有 Reddit 用戶表示發現了 Windows 10 中隱藏安裝的密碼管理器。后來，Google Project Zero 白帽黑客 Tavis Ormandy 證實，他在自己的 Windows 10 系統上發現了這款預裝的 Keeper Password Manager 密碼管理應用程序。

　　我最近用 MSDN 的原始圖像創建了一個全新的 Windows 10 虛擬機，發現系統默認安裝名為“Keeper”的密碼管理器。除了我，還有其他用戶也發現了這一點。 我認為這是第三方與微軟的捆綁交易。

　　我之前就知道 Keeper，因為我前一陣子提交了一個利用 Keeper 將特權 UI 注入頁面的問題（issue 917）。這次，他們又做了類似的事情。我認為這是個嚴重的問題，需要深挖一下。因為我只是更改了一下選項，攻擊就能成功。

　　經過幾次測試之后，Ormandy 在 Keeper Password Manager 中發現了一個嚴重的漏洞，攻擊者可以利用這個漏洞“徹底入侵 Keeper，進而竊取密碼”。確切來說，密碼管理員使用一個小小的遠程根目錄就能分享用戶每個網站的密碼。這個漏洞與Ormandy在2016年8月在Keeper插件的非捆綁版本中發現的另一個漏洞非常相似，那個漏洞也會被惡意網站利用并竊取密碼。

　　Ormandy 向 Keeper 開發團隊報告了這個漏洞，Keeper 團隊在 11.4 新版本中刪除了“add to existing”（添加到當前）功能，進行了修復。Keeper 團隊還宣稱該漏洞目前沒有在野利用實例。

　　Keeper Security的創始人兼首席技術官表示

　　這個潛在的漏洞利用過程大概為：Keeper 用戶在登錄瀏覽器擴展時將其誘騙到惡意網站，然后通過 “clickjacking”（點擊劫持）技術在瀏覽器擴展中執行特權代碼來欺騙用戶輸入用戶名與密碼。

　　Ormandy 還發布了PoC ，如果用戶的 Twitter 密碼存儲在 Keeper 應用程序中，就可以被盜取。

　　至于為何 Keeper 密碼管理器會在用戶不知情的情況下預裝在 Windows 10 中，目前尚不清楚。不過，如果用戶沒有打開 Keeper 密碼管理器并存儲、管理密碼，那么就不會受到這個漏洞的影響。用戶如果想要禁用 Content Delivery Manager，可以使用如下注冊表設置，以防止 Microsoft 在個人計算機中暗中安裝不需要的應用程序。

　　?Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\DefaultUser\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager]

　　;0 = No Disable

　　;1 = Yes Enable (Default)

　　"PreInstalledAppsEnabled"=dword:00000000

責任編輯：韓希宇