Il password manager Keeper , distribuito in formato app nelle più recenti versioni di Windows 10 scaricabili dal network MSDN, è affetto da una vulnerabilità di sicurezza che mette potenzialmente a rischio tutte le password dell’utente. Il problema in realtà non è nuovo, mentre l’azienda responsabile ha rilasciato una versione aggiornata che tiene a bada il bug in attesa di una soluzione definitiva.
A scoprire la falla è stato Tavis Ormandy , ricercatore in forze al gruppo Project Zero di Google che dice di aver già individuato la vulnerabilità in una versione precedente di Keeper; testando l’ultima ISO scaricata da MSDN, Ormandy ha constatato che il vecchio attacco funziona più o meno allo stesso modo e può portare alla “compromissione completa” del password manager formato-app.
Qualsiasi sito Web potrebbe sfruttare la falla per rubare le password dell’utente , ha dichiarato Ormandy, e per meglio ribadire il concetto il ricercatore ha approntato una dimostrazione on-line che dovrebbe fugare ogni dubbio sulla pericolosità del bug.
Da parte sua il CTO di Keeper Security ha ammesso l’esistenza del problema, confermando che il rischio compare quando un sito malevolo o compromesso sfrutta l’estensione per browser della app per rubare le password.
Le estensioni sono state aggiornate in meno di 24 ore dal rapporto di Ormandy, anche se il bug risulta al momento “soppresso” – assieme alla funzionalità potenzialmente sfruttabile dai criminali – in attesa di risolvere la questione in maniera definitiva nel prossimo futuro.