Microsoft installeerde ongeveer een week lang bij bepaalde gebruikers een wachtwoordmanager in Windows 10 waarvan de Chrome-plug-in door een kwetsbaarheid alle opgeslagen gegevens door zou kunnen spelen aan een malafide website. De kwetsbaarheid is inmiddels verholpen.

De app in kwestie is Keeper en wordt niet door Microsoft zelf ontwikkeld. De browserplug-in van deze app bevatte een kwetsbaarheid waardoor malafide websites interface-elementen van de plug-in in webpagina's kunnen gebruiken om een gebruikersnaam en wachtwoord op te vragen. Het beveiligingsgat bestond al 16 maanden in Keeper en Google-securityonderzoeker Tavis Ormandy wist deze kwetsbaarheid met enkele kleine aanpassingen ook op de toenmalig nieuwste versie van de app en plug-in uit te buiten. Dat schrijft hij in zijn melding van het probleem op 14 december. Hij stelt dat het een 'volledige aantasting van de veiligheid van Keeper' is. 'Iedere website kan ieder wachtwoord stelen.'

Gebruikers hebben geen gevaar gelopen tenzij ze Keeper ook daadwerkelijk in gebruik namen en de browserplug-in voor Chrome gebruikten. Intussen, op vrijdag de 15e, heeft de ontwikkelaar de plug-in een update gegeven. Keeper ontkent dat het om dezelfde kwetsbaarheid als die van 16 maanden geleden ging. Dat zegt het bedrijf tegen Ars Technica.

Tegenover Ars wil Microsoft niet laten weten wat voor een proces precies bepaalt of Keeper geïnstalleerd wordt of niet. Het lijkt erop dat dit automatisch gebeurt op basis van een inschatting van de interesse van de gebruiker in de applicatie. Er zijn zelfs meldingen dat de applicatie direct na een schone installatie van Windows 10 al kan verschijnen. Het is niet bekend wat voor veiligheidstests een Windows Store-applicatie van een derde partij moet doorstaan voordat het in aanmerking komt voor automatische installatie. Keeper kwam al eerder in het nieuws vanwege kwetsbaarheden in zijn product.

Reacties mogelijk gemaakt door CComment