Cada vez más la seguridad en el ámbito tecnológico es uno de los aspectos que más preocupan a los usuarios. Y es que el abanico es prácticamente inmedible si nos referimos a la cantidad de información relevante a la que sería posible acceder si no tomamos las medidas de seguridad necesarias en la red.
Las grandes compañías también se preocupan por cuidar este aspecto ya que repercute directamente sobre la seguridad de sus usuarios.
Google es uno de los gigantes de la información que demuestra la preocupación por este aspecto, incluyendo últimamente medidas en su navegador Google Chrome como la de evitar redireccionamientos a otras páginas no deseadas, su propia función de antivirus Google Clean Up o su bloqueador de pop-ups en la nueva beta de Chrome 64, noticias de las cuales ya informamos anteriormente en Solvetic.
Project Zero es el nombre asignado al grupo de analistas de la compañía Google que se encargan de la búsqueda de vulnerabilidades en el ámbito de la seguridad. En este caso uno de estos investigadores, Tavis Ormandy, ha sido el que ha encontrado una vulnerabilidad, en este caso en Windows 10, que puede comprometer la confidencialidad de nuestras contraseñas.
Keeper es el gestor de contraseñas instalado por defecto en Windows 10. Este experto en seguridad de Google se encargó de instalar una copia de Windows 10 que no había sufrido modificación alguna ni descargas de terceros.
Tras esto observo que Keeper, que es un servicio de terceros instalado por defecto en Windows 10, tiene una vulnerabilidad que afecta de manera seria a nuestra seguridad ya que deja la puerta abierta a que cualquier página web robe nuestras contraseñas.
Tavis manifestó de manera literal mediante su cuenta de Twitter: "Creé una nueva máquina virtual de Windows 10 con una imágen prístina de MSDN y noté que el administrador de contraseñas de terceros está instalado de manera predeterminada. No pasó mucho tiempo hasta encontrar una vulnerabilidad crítica"
Por este error Keeper había estado inyecyando una IU de confianza a webs que no lo eran a través de un script de contenido. Mientras esto ocurría los sitios web podrían haber estado robando contraseñas.
El problema de esto no es por supuesto Microsoft ni está dentro del código de Windows 10, pero Keeper es un software de terceros para gestionar las contraseñas del sistema y esto es un grave fallo. Microsoft ya fue avisado y tiene 90 días desde el aviso para resolver esto.
Por parte de los desarrolladores de Keeper la solución tuvo lugar 24 horas después con una actualización para instalar una nueva versión mejorada.
Desde Solvetic estaremos pendientes para ver como se resuelve finalmente este asunto que afecta a la seguridad de los usuarios.
0 Comentarios