Tavis Ormandy phát hiện lỗ hổng bảo mật sau khi thấy Keeper được cài đặt mặc định trong Windows 10. Ông nhớ lại lỗ hổng mà mình đã báo cáo hồi năm ngoái và tái tạo lại một tấn công tương tự chỉ với vài sự thay đổi nhỏ.
“Tôi đã nghe nói về Keeper, tôi nhớ đã chỉ ra một lỗi trong thời gian trước đây về cách chúng đã cấy UI (User Interface) đặc quyền vào các trang”, nhà nghiên cứu cho biết. “Tôi đã kiểm tra và chúng tôi đang làm lại điều tương tự với phiên bản này”.
Trừ khi người dùng chọn không tham gia, nếu không lỗ hổng sẽ ảnh hưởng tới các tiện ích mở rộng của Keeper mà được cài đặt cùng với ứng dụng Keeper desktop. Lỗ hổng bảo mật cho phép tin tặc đánh cắp mật khẩu lưu trong ứng dụng nếu chúng thuyết phục được người dùng xác thực truy nhập vào một trang web lừa đảo đặc biệt.
Keeper đã phát hành bản vá trong vòng 24 giờ sau khi được Tavis Ormandy thông báo. Bản sửa lỗi đã được đưa ra trong phiên bản 11.4.4 và đã được gửi tới người dùng Edge, Chrome và Firefox thông qua quá trình cập nhật mở rộng tự động của trình duyệt. Riêng người dùng Safari cần cập nhật thủ công.
Keeper cho biết: “Lỗ hổng tiềm ẩn này yêu cầu người dùng Keeper bị lừa tới trang web độc hại khi đăng nhập vào phần mở rộng của trình duyệt và sau đó giả mạo dữ liệu người dùng bằng kỹ thuật clickjacking (một kỹ thuật nhằm đánh cắp các “cú click” của người dùng) và/ hoặc kỹ thuật cấy mã độc để thực thi mã đặc quyền trong phần mở rộng của trình duyệt”.