Ricercatore google scopre falla in keeper. Migliaia di password a rischio

79
falla windows 10 sistema operativo

Tavis Ormandy riesce ad eludere anche i sistemi di sicurezza della famosa app. L’azienda: “abbiamo risolto in 24 ore”

Da quando nel 2015 la Microsoft ha rilasciato Windows 10 diversi bug e problematiche hanno reso questo sistema operativo uno dei più discussi di sempre. Nonostante ciò, rimane ancora ad oggi il più venduto anche perché la Microsoft si è impegnata quasi sempre tempestivamente per risolvere tutti i piccoli problemi tecnici. Fu lo stesso Bill Gates a spiegare che: <<E’ impossibile creare un sistema operativo senza errori. Se già era utopico in passato, oggi con la tecnologia in continua evoluzione è sempre più difficile e avanzare una richiesta di questo tipo è praticamente impensabile.

Basti tenere conto la complessità e la diversità di Windows 10 quanto sia vasta. Tanto che per diversificarne gli usi ne abbiamo create sette versioni>>.

Difatti esiste la versione “Home” per gli utenti privati, quella “Pro” per gli usi professionali, quella “Mobile” per gli smartphone, due diverse edizioni per le aziende: “Enterprise” per i computer e “Mobile Enterprise” per i telefoni aziendali; poi la versione per le scuole “Education” e infine la versione “IoT Core” creata per l’internet of things. Una curiosa caratteristica però accomuna tutte le versione di Windows 10 ovvero la possibilità che il sistema di punto in bianco installi applicazioni (app) senza alcun preavviso con l’intento, almeno in teoria, che l’app risulti utile per il fruitore. Logicamente le app che Windows sceglie di installare sul sistema sono selezionate in base agli interessi e alle preferenze che l’utente imposta.

Questo è possibile grazie ad un componente: il “Content Delivery Manager” (CDM).  Una di queste app scelte da Windows è Keeper, un’applicazione di gestione per le password abbastanza diffuso ed anche apprezzato, ma che purtroppo recentemente ha svelato una falla non indifferente. Anche di Keeper ne esistono due versioni: una per privati ed una per aziende.

Ma andiamo con ordine. Per capire come funziona Keeper bisogna immaginare una vera e propria cassetta di sicurezza digitale. Se si pensa che l’81% delle violazioni dei dati dipende dalla scarsa sicurezza delle password, uno strumento che aiuta in tal senso diventa utilissima. Keeper serve proprio appunto per ricordare tutte le password che nella vita siamo “obbligati” a generare, o che ci vengono consegnate (come i pin di un bancomat ad esempio).

Nel 60% dei casi le violazioni dei dati vengono facilitate proprio da chi usa la stessa password per ogni cosa. Ogni violazione costa in media comunque sui €3.3 milioni, quindi non è cosa da poco. Oltre a gestire le password Keeper permette anche di gestire documenti sensibili.

Metteteci poi un interfaccia intuitiva, un sito web accattivante, un paio di premi di Google e affini, un paio di dichiarazioni degli utenti che sembrano la pubblicità della Nutella quando chiedono “che mondo sarebbe senza?” e infine la lista di aziende che la utilizzano (tipo Siemens) ed il gioco è fatto.

Sarebbe tutto bellissimo, se non fosse per il fatto che Tavis Ormandy, ricercatore di Google, si è accorto che Keeper può essere attaccato, ed anche facilmente. Già in passato Ormandy aveva individuato falle di sicurezza in altri sistemi importanti come Sofos, Fire Eye e Libtiff. Proprio la falla su Sofos scoperta nel 2012 gli regalò la popolarità. Infatti pubblicò un rapporto di 30 pagine intitolato: “Sophail: Applied attacks against Sophos Antivirus” dove pur ammettendo che l’azienda abbia lavorato in buona fede con tutte le buone intenzioni il software non era abbastanza equipaggiato per garantire la sicurezza dato che un semplice ricercatore era riuscito a violarlo.

Che poi tanto semplice non è, dato che attualmente Google lo ha impiegato nel team che lavora al Project Zero, il cui obbiettivo è di raggiungere in un futuro prossimo la “zero vulnerabilità informatica”. Ormandy nel 2014 produsse anche un software che dimostrasse come la vulnerabilità in glibc (Gnu C Library che fu sviluppato nel 1987 da Roland McGrath che nel 1991 portò poi all’uso congiunto con Linux dando vita al Kernel Linux) che era conosciuta già dal 2005, potesse effettuare un root access su apparecchiature che usano Fedora nella versione a 32 bit.

Praticamente accesso illimitato a tutte le funzioni inaccessibili per un normale utente e come se si fosse uno sviluppatore andare ad incidere su qualsiasi aspetto del sistema. Nonostante questo la falla trovata su Keeper sembra essere ben più grave delle altre.

Per sostenere la sua tesi ha creato un proof-of-concept (prova del concetto) in cui si evince che esiste un’ app malevola che nel momento in cui l’utente va a loggarsi sottrae tutte le password andando a trovarle proprio in Keeper. Un brutto colpo per l’azienda, all’apice del successo, tanto che gli sviluppatori si sono subito allertati e in sole 24 ore hanno posto rimedio aggiornando l’app.

Tuttavia se si volesse evitare a monte che Windows 10 scaricasse app bypassando il parere dell’utente è possibile farlo. Basta formulare la giusta combinazione di tasti: Windows+R, e digitare regedit quindi incollare HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\ContentDeliveryManager nella casella sotto la barra dei menu e nel pannello di destra cliccare due volte sulla voce SilentInstalledAppsEnabled e impostarne il valore a 0. Più facile a fare che a dirsi.