日前,Google 白帽黑客 Tavis Ormandy 表示,某些 Windows 10 系統中預裝了第三方密碼管理器應用程序,可能被黑客利用,遠程竊取用戶憑據。
據報道,從 Windows 10 周年更新(1607版本)開始,Microsoft 就在其操作系統中增加了一項名為 Content Delivery Manager 的新功能,該功能會暗中安裝新的“建議應用程序”,而不會通知用戶。
幾個月前,就有 Reddit 用戶表示發現了 Windows 10 中隱藏安裝的密碼管理器。后來,Google Project Zero 白帽黑客 Tavis Ormandy 證實,他在自己的 Windows 10 系統上發現了這款預裝的 Keeper Password Manager 密碼管理應用程序。
我最近用 MSDN 的原始圖像創建了一個全新的 Windows 10 虛擬機,發現系統默認安裝名為“Keeper”的密碼管理器。除了我,還有其他用戶也發現了這一點。 我認為這是第三方與微軟的捆綁交易。
我之前就知道 Keeper,因為我前一陣子提交了一個利用 Keeper 將特權 UI 注入頁面的問題(issue 917)。這次,他們又做了類似的事情。我認為這是個嚴重的問題,需要深挖一下。因為我只是更改了一下選項,攻擊就能成功。
經過幾次測試之后,Ormandy 在 Keeper Password Manager 中發現了一個嚴重的漏洞,攻擊者可以利用這個漏洞“徹底入侵 Keeper,進而竊取密碼”。確切來說,密碼管理員使用一個小小的遠程根目錄就能分享用戶每個網站的密碼。這個漏洞與Ormandy在2016年8月在Keeper插件的非捆綁版本中發現的另一個漏洞非常相似,那個漏洞也會被惡意網站利用并竊取密碼。
Ormandy 向 Keeper 開發團隊報告了這個漏洞,Keeper 團隊在 11.4 新版本中刪除了“add to existing”(添加到當前)功能,進行了修復。Keeper 團隊還宣稱該漏洞目前沒有在野利用實例。
Keeper Security的創始人兼首席技術官表示
這個潛在的漏洞利用過程大概為:Keeper 用戶在登錄瀏覽器擴展時將其誘騙到惡意網站,然后通過 “clickjacking”(點擊劫持)技術在瀏覽器擴展中執行特權代碼來欺騙用戶輸入用戶名與密碼。
Ormandy 還發布了PoC ,如果用戶的 Twitter 密碼存儲在 Keeper 應用程序中,就可以被盜取。
至于為何 Keeper 密碼管理器會在用戶不知情的情況下預裝在 Windows 10 中,目前尚不清楚。不過,如果用戶沒有打開 Keeper 密碼管理器并存儲、管理密碼,那么就不會受到這個漏洞的影響。用戶如果想要禁用 Content Delivery Manager,可以使用如下注冊表設置,以防止 Microsoft 在個人計算機中暗中安裝不需要的應用程序。
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\DefaultUser\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager];0=No Disable;1=Yes Enable (Default)"PreInstalledAppsEnabled"=dword:00000000
眾所周知,全世界最主流的手機操作系統,目前只有兩個:
Android和iOS。
而最主流的電腦操作系統,也有兩個:
Windows和macOS。
噢對,還得加上占有率不高,但聲量挺大的Linux。
雖然不一定都用過,但大家多少有些了解。
機哥試著說出你們心中的“刻板印象”:
Android開放、玩法多、拓展性強,加上各大廠商的“魔改”深度定制,可以說花樣百出。
但與此同時,正因為多樣,所以稍顯無序,生態混亂。
iOS封閉、玩法少、功能克制,雖說該有的東西都有,但不夠個性。
犧牲這么多換來的便是,安全穩定的生態、優秀的體驗。
再來說電腦。
Windows,軟件生態極為豐富,用戶基礎占據絕對優勢。
雖然不是開源,但它跟安卓頗有一些相似,強大但混亂。
macOS則帶著一貫的“蘋果味”,設計上乘,安全穩定,但很死板。
Linux普通消費者用得不多,軟件支持度不高,但憑借開源的特性,獲得一大批極客的青睞。
在這些極客的心中,Linux安全穩定,且沒有花里胡哨的功能,高手之選。
如果,機哥問大家,這里面哪個系統最安全?
估計大多數人會脫口而出,電腦肯定是Linux和macOS,手機必然是iOS。
Windows和Android,一看就不太靠譜。。
然而,今天機哥看到一組數據,重重地打了我的臉。
這組數據來源于NIST(美國國家標準技術研究院)的漏洞數據庫。
里面詳細記錄了近二十年來,業界知名的軟件產品的漏洞情況。
先來看一張總表,這條折線記錄了20年間被發現的軟件漏洞數。
1999年,總共記錄到894個漏洞。
但到2018年的時候,漏洞數已經飆到16556個。
表面上看是漏洞數量暴增,實際上也體現出電腦、智能手機越來越流行。
那么,這些年里,到底是哪些軟件“貢獻”了最多漏洞呢?
我們來看看2019年的排行榜。
哈哈,大家沒有錯怪安卓。
僅去年一年,Android就被記錄414個漏洞,是當之無愧的漏洞之王。
想想也是,開源開放、魔改、用戶量又大,這個冠軍拿得一點不意外。
單看一年難免有誤差,咱們把統計周期拉長到20年,排名又會發生什么變化呢?
emmmm?
那個“安全穩定”的Debian Linux,以3067個漏洞的成績,摘得桂冠。。
安卓也不甘示弱,足足有2563個。
考慮到Debian Linux有二十多年的歷史,而安卓誕生不到十二年,平均下來安卓表現還是略差。
淪陷的不僅是Debian Linux,我們繼續往下看,排名第四的居然是蘋果電腦的Mac OS X。
iOS也沒好到哪兒去,排名第8。
而我們口中經常吐槽的Windows 7和Windows10,僅僅排在第10和第13。
這實在是不符合直覺。。
另一份數據印證了這個結論。
這是1999~2019這二十年,每一年被發現漏洞最多的產品榜。
注意看2006、2008、2015,Mac OS X上榜三次。
Linux上榜更是家常便飯。
而Windows……除去1999的NT,其他諸如Win XP、Win7、Win10居然從未上榜,好得讓人意外。
再來看1999-2019年,各大軟件商的累計漏洞數排名。
雖然微軟以6814個漏洞高居第一。
但這是因為他們家軟件多,平均一下,每個產品的漏洞僅有12.9個。
蘋果是37.9個,谷歌54.4個,linux有139.4個。
如此看來,Windows居然翻身吊打macOS和Linux了?
為啥會產生如此反常的結果,機哥得跟大家好好解釋解釋。
其實,一個系統的“安全性”,或者說用戶被攻擊的可能性,并不僅僅取決于系統的漏洞數量。
至少還有三個因素在影響。
用戶基數
俗話說得好,無利不起早。
Windows占據了桌面端八成的份額,擁有龐大的用戶量。
而macOS和Linux份額少得可憐。
如果你是居心不良的黑客,會把撈金池選在哪個系統呢?
答案毋庸置疑。
所以影響大、傳播廣的惡意軟件,大多會出現在Windows平臺。
這就讓蘋果用戶,產生了一種“mac沒病毒”的錯覺。
但隨著Mac的份額越來越大,針對macOS的病毒也出現了。
例如全球著名的病毒Leap-A(也叫Oompa-A),就是利用Mac上的iChat軟件,將病毒捆綁在圖片上傳播。
就好比同是聊天軟件,微信上發生的詐騙案,一定比米聊上發生的多。
但并不能因此就說米聊比微信安全。。
Mac、Linux病毒少,只不過是用戶少所帶來的意外好處之一。。
系統安全設計
咱也不能因此否定了蘋果所做的努力。
macOS給人一種安全的感覺,還有個重要原因是系統的某些設計。
比如默認推薦你從Mac App Store下載軟件。
在這里上架的軟件,都經過蘋果嚴格的審核,搞不了小動作。
即便是其他渠道安裝的軟件,安裝時也會用Gatekeeper進行代碼掃描,檢查風險。
(不過,如今的Windows也有點這個味道了)
最狠的是,macOS采用應用沙盒機制。
第三方程序無法訪問其他應用的文件,以及系統文件,從根本上斷掉了亂來的可能性。
So,即便存在漏洞,也能盡量控制給用戶帶來的損失。
官方補救
漏洞被發現后,如果修補及時,就不會造成什么大問題。
在這方面,蘋果和微軟做得都很不錯。
比如前年轟動全球的Meltdown和Spectre漏洞爆發。
macOS和Windows第一時間就推出安全補丁。
兵來將擋,水來土掩,漏洞你盡管來,能出事算我輸。
總而言之,Windows給你一種不夠安全的感覺,并不是因為系統寫得不好,更多是因為外部因素,畢竟道高一尺魔高一丈嘛。
除此之外,這份數據還有很多有意思的東西。
比如經過通用漏洞評分系統(CVSS)加權計算后,這20年來風險指數最高的軟件,是Adobe Flash Player。
嗯,就是Flash那個辣雞。。同時Adobe旗下多款軟件上榜。
而另一個極端就是思科和惠普。
20年里,他們家平均每個產品的漏洞數,僅有1.1和0.5個。
恐怖如斯。。
你還能看出時代的更替。
1999~2009年,IE瀏覽器“榮膺”兩次年度最多漏洞產品。
而2010~2019這十年,主角變成了Google Chrome。
仔細研究,數據里還有很多有趣的細節。
它也從側面反映這二十年,全球軟件業的發展。
三十年河東三十年河西,IE唱罷Chrome登場。
安卓無愧漏洞王,Linux沒有想象中好,iOS也沒那么強。
而且最重要的是,我們冤枉Windows太久了。