Jika Anda menjalankan Windows 10 di PC Anda, kemungkinan ada komputer Anda yang berisi aplikasi manajer sandi pihak ketiga pra-instal yang memungkinkan penyerang mencuri semua kredensial Anda dari jarak jauh.
Mulai dari Windows 10 Anniversary Update (Versi 1607), Microsoft menambahkan fitur baru yang disebut Content Delivery Manager yang diam-diam memasang “aplikasi saran” (application suggestions) baru tanpa meminta izin pengguna.
Menurut sebuah blog yang diterbitkan pada hari Jumat di Chromium Blog, peneliti Google Project Zero Tavis Ormandy mengatakan bahwa dia menemukan sebuah software penyimpanan kata sandi terkenal yang telah terinstal, yang disebut “Keeper,” pada sistem Windows 10 yang baru diinstal yang dia download langsung dari Microsoft Developer Network.
Ormandy bukanlah satu-satunya yang memperhatikan Keeper Password Manager. Beberapa pengguna Reddit mengeluh tentang pengelola kata kunci tersembunyi sekitar enam bulan yang lalu, yang dilaporkan Keeper diinstal pada mesin virtual yang dibuat dengan Windows 10 Pro.
Cacat Kritis Dalam Keeper Password Manager
Mengetahui bahwa manajer kata kunci pihak ketiga sekarang terinstal secara default di Windows 10, Ormandy mulai menguji perangkat lunak dan tidak tahan lagi menemukan kerentanan kritis yang mengarah pada “kompromi keamanan Keeper secara menyeluruh, yang memungkinkan situs web mencuri password apapun.”
“Saya tidak ingin mendengar tentang bagaimanaebuah software penyimpanan kata sandi dengan jarak jauh yang membagikan semua kata kunci Anda dengan setiap situs web lebih baik daripada tidak sama sekali. Orang benar-benar mengatakan hal ini kepada saya,” Ormandy men-tweet.
Kerentanan keamanan di Keeper Password Manager hampir identik dengan yang ditemukan Ormandy dan dilaporkan dalam versi non-bundling dari plugin Keeper yang sama pada bulan Agustus 2016 yang memungkinkan situs web jahat mencuri password.
“Saya memeriksa dan mereka melakukan hal yang sama lagi dengan versi ini. Saya rasa saya bermurah hati mengingat ini sebuah isu baru yang memenuhi syarat untuk pengungkapan sembilan puluh hari, karena saya benar-benar baru saja mengubah penyeleksi dan karya serang yang sama, “Kata Ormandy.
Untuk menjelaskan tingkat keparahan bug, Ormandy juga memberikan sebuah konsep proof-of-concept (PoC) yang berhasil mencuri password pengguna Twitter jika disimpan di aplikasi Keeper.
Pasang Pengelola Sandi Keeper yang Diperbarui
Ormandy melaporkan kerentanan pengembang Keeper, yang mengakui masalah tersebut dan merilis sebuah perbaikan pada versi yang baru dirilis 11.4 pada hari Jumat dengan menghapus fungsi “add to existing” yang rentan.
Karena kerentanan hanya mempengaruhi versi 11 dari aplikasi Keeper, yang dirilis pada 6 Desember sebagai update ekstensi browser utama, kerentanannya berbeda dari yang dilaporkan oleh Ormandy enam bulan yang lalu.
Keeper juga menambahkan bahwa perusahaan tersebut belum memperhatikan adanya serangan menggunakan celah keamanan ini di alam bebas.
Sedangkan untuk pengguna Windows 10, Ormandy mengatakan pengguna tidak akan rentan terhadap pencurian password kecuali mereka membuka Keeper password manager dan memungkinkan perangkat lunak menyimpan kata sandinya.
Namun, Microsoft tetap perlu menjelaskan bagaimana pengelola sandi Keeper terinstal di komputer pengguna tanpa sepengetahuan mereka. Sementara itu, pengguna dapat menggunakan tweak registri ini untuk menonaktifkan Content Delivery Manager guna mencegah Microsoft menginstal aplikasi yang tidak diinginkan secara diam-diam di PC mereka.