Hoy día cuando hacemos uso de nuestros equipos, hacemos uso de contenido sensible, a veces sin darnos cuenta. Nuestros equipos, sean portátiles, tabletas, móviles o incluso televisores, equipos de sonido. Un buen número de ellos albergan contraseñas de correo, cuentas de correo, redes Wi-Fi y sus claves, claves de acceso personales... Podríamos seguir y la lista sería enorme.
Si nos centramos en los portátiles y equipos móviles con sus sistemas operativos, vemos como las marcas cada vez intentan mejorar la gestión de dichos datos. Buscan por una parte el que confiemos en nuestros equipos para que almacenen toda nuestra vida digital ofreciendo las herramientas adecuadas y a la par pretenden garantizar que la gestión de las mismas es segura, que nuestros datos estarán siempre a salvo. Surge un problema entonces cuando a veces esto no es así y es lo que parece ocurrir con el Keeper, el gestor de claves que está incluido en Windows 10.
Keeper es un _software_ de terceros para la gestión de contraseñas, (_bloatware_ de toda la vida) lo cual exculpa en parte a los de Redmond de la polémica. Un _software_ similar por poner un sólo ejemplo a 1Password. Y es que entrando en materia, al parecer Keeper cuenta con una importante vulnerabilidad, un defecto que ha descubierto el investigador de Project Zero (bajo la mano de Google), Tavis Ormandy, y que puede hacer que nuestras claves de inicio de sesión queden totalmente desprotegidas. Pensemos la cantidad de información que podemos tener en ese apartado y la sensibilidad de la misma.
I created a new Windows 10 VM with a pristine image from MSDN, and noticed a third party password manager is now installed by default. It didn't take long to find a critical vulnerability. https://t.co/dbkznucgLm
— Tavis Ormandy (@taviso) 15 de diciembre de 2017
Toca actualizar
Google ya en su momento alertó sobre el fallo que afectaba a Explorer y Edge y ahora vuelve a poner la luz sobre Microsoft, en este caso en Keeper. Para ello Ormandy afirmó que tras instalar una copia de Windows 10 sin modificación alguna, el gestor de contraseñas que viene preinstalado adolece de un fallo de seguridad que puede hacer que cualquier página web pueda acceder a nuestros datos de inicio de sesión de cualquier servicio que tengamos almacenado.
La amenaza sigue existiendo en las versiones de Windows que se pueden instalar y que no cuentan con el parche de seguridad o la versión corregida de Keeper
Una vez descubierto el fallo crítico, fue comunicado a Microsoft (y se dieron los 90 días de plazo) para que los desarrolladores de Keeper pusiesen remedio con el lanzamiento de una actualización liberada tan sólo 24 horas después de recibir la comunicación. El parche llega además acompañado de un _update_, la versión 11.3, que se instala en los equipos que cuentan con Keeper de forma automática sin que el usuario tenga que intervenir en el proceso.
El problema es que si realizas una instalación limpia de Windows 10, el fallo sigue estando presente en tanto en cuanto no actualices la aplicación, pues las versiones ya lanzadas de Windows 10 no cuentan con el parche de seguridad incluido. En este sentido si acabas de instalar una copia del sistema operativo de Microsoft vigila las actualizaciones y pon al día lo antes posible todos los parches de seguridad que tengas pendientes.
Fuente | HackRead
En Genbeta | Project Zero: el equipo de hackers de Google para mejorar la seguridad en Internet
Ver 1 comentarios