Windows 10: Unsicherer Passwort-Manager-App eingeschleust

[English]Sicherheitsvorfall bei Microsoft Windows 10. Es wurde (mutmaßlich) über die in diversen Installationsabbildern von Windows 10 enthaltenen Apps (oder über einen speziellen Dienst) eine unsichere Version des Passwort-Managers Keeper verteilt. Diese konnte verwendet werden, um Kennwörter zu stehlen. Die App wurde zwischenzeitlich aktualisiert, der Vorfall wirft aber Fragen auf.


Anzeige

Worum geht es?

Microsoft rollt Windows 10 ja mit einer Menge vorinstallierter Apps (Bloatware), an die Anwender aus. Das ist zwar nervig, aber erst einmal kein wirkliches Problem. Bei der Installation von Windows 10 aus diversen Microsoft Imagedateien (so ganz genau ist der Weg noch nicht klar – ich habe die Apps bei mir nicht gefunden) scheint es aber so gewesen zu sein, dass dort auch die App Keeper (bzw. die benötigte Erweiterung für den Edge-Browser) mit vorinstalliert wurde. Woody Leonhard hat das die Nacht kurz bei askwoody.com eingekippt. Ein Nutzer bei reddit.com hat das in diesem Thread thematisiert.

I just reinstalled Windows 10 today, and I was uninstalling all the bundled apps like usual, and I noticed that Keeper Password Manager is preinstalled now. I've never seen this come installed with Windows before.

And this isn't a link to install it like some of the other apps, it's actually installed and opens.

In knappen Worten: Der Nutzer hat Windows 10 neu installiert und dann damit begonnen, die vorinstallierten Apps zu deinstallieren. Dabei ist ihm aufgefallen, dass der Keeper Password Manager vorinstalliert war. Und nicht als Link, um die App aus dem Store zu laden, sondern die App war (vermutlich) im Installationsabbild dabei.

Keeper-Passwort-Manager in Windows 10
(Keeper-Passwort-Manager in Windows 10 – Quelle: reddit.com)

Der Nutzer hat das mit obigem Screenshot dokumentiert. Im reddit.com-Thread meldeten sich Nutzer, die das sowohl bei Windows 10 Home als auch bei Windows 10 Pro beobachtet haben. Und es kommt noch kruder: Ein Benutzer schreibt, dass er diese App drei Mal deinstalliert habe, diese aber immer wieder auf dem System aufgeschlagen sei.


Anzeige

Der Windows 10 Content Delivery Manager

Unklar ist, wie diese App plötzlich in eine frische Windows 10-Installation aus einem Microsoft-Abbild kommt (und vor allem, sich nach dem Entfernen nachinstalliert). Aber es gab (bei reddit.com) recht schnell eine Vermutung. Möglicherweise liefert dieser ältere Artikel einen Hinweis, wie es passiert. Einem Benutzer ist beim Upgrade auf Windows 10 Anniversary Update ein merkwürdiges Verhalten aufgefallen. Er schreibt:

With the Windows 10 Anniversary Update, Microsoft added a new feature to the Content Delivery Manager, a component of the OS which is also used for Windows Spotlight and app suggestions.

It now appears to silently install new apps for you without asking for any kind of confirmation.

After I spotted a few new apps after upgrading to the Anniversary Update (not immediately, a few hours later), I decided to take a closer look at this.

Er ist auf eine Funktion mit dem Namen Content Delivery Manager gestoßen, über die Microsoft neue Apps nach der Installation eines Windows 10-Abbilds nachinstallieren kann. Das erfolgt wohl ohne Nachfrage. Im Artikel wird erklärt, wie man das per Registrierungseingriff abstellen kann.

Windows 10 Enterprise dürfte nicht betroffen sein. Bei Windows 10 Pro könnte das auch passieren, wenn man mit einem lokalen Benutzerkonto angemeldet ist, da die App ja gratis bereitgestellt wird. Aktuell ist mir aber noch nicht klar, ob das Ausrollen auch bei deaktiviertem App-Auto-Update per Store-App passiert.

Unsichere Keeper-App-Version ausgerollt

Und nun kommen wir zum Sicherheitsproblem: Microsoft hat in Kooperation mit dem Anbieter von Keeper die App Keeper Passwort-Manager (sowie die Edge-Erweiterung) irgendwie auf die/manche Windows 10-Systeme verteilt. Die ausgerollte Version versetzte Angreifer in der Lage, Kennwörter der Nutzer abzufischen. Google Sicherheitsforscher Tavis Ormandy ist dies aufgefallen. Er hat diesen Vorfall am 14. Dezember 2017 hier dokumentiert. Tavis schreibt:

I recently created a fresh Windows 10 VM with a pristine image from MSDN, and found that a password manager called "Keeper" is now installed by default. I'm not the only person who has noticed this

[Verweis auf den obigen reddit.com-Thread]:

I assume this is some bundling deal with Microsoft. I've heard of Keeper, I remember filing a bug a while ago about how they were injecting privileged UI into pages (   issue 917   ). I checked and, they're doing the same thing again with this version. I think I'm being generous considering this a new issue that qualifies for a ninety day disclosure, as I literally just changed the selectors and the same attack works.

Tavis ist also auch die vorinstallierte App Keeper aufgefallen. Und er erinnerte sich, dass Keeper ein Sicherheitsproblem hatte, weil privilegierte UI-Elemente in Webseiten injiziert wurden. Er hat nachgeschaut und diese Technik erneut in der App Keeper (bzw. der von der App installierbaren Browser-Extension) gefunden.

Die Keeper-Sicherheit ist also komplett kompromittiert. Denn die Keeper-Extension ermöglichte jeder beliebigen Webseite das klauen von Kennwörtern (die von Keeper gespeichert und dann in die betreffenden Anmeldeformulare auf der Webseite eingetragen werden). Tavis verweist auf die Demo-Seite keepertest, die ein Twitter-Anmeldekennwort abfischt.

Passwortklau bei Keeper-Test

Tavis Ormandy hat dann Keeper über das Thema informiert. Die Keeper-Entwickler haben recht schnell einen Fix für das Problem veröffentlicht (wie man hier in einem Keeper-Blog-Beitrag nachlesen kann). Bei Arstechnica schreibt Dan Goodin, dass Windows 10 für 8 Tage mit einer kritischen Sicherheitslücke 'gebündelt' worden sei, weil die unsichere Keeper-App ja automatisch ausgerollt wurde. Da aber der Content Delivery Manager seit dem Anniversary Update vorhanden ist, bestand die Problematik potentiell bereits seit 16 Monaten (wie Woody Leonhard hier schreibt).

Der Vorfall zeigt, auf welches wackelige Fundament Microsoft die Nutzer mit ihrer Bloatware inzwischen schiebt. Ich kann mir nicht helfen – so etwas hat es imho vor einigen Jahren bei Microsoft noch nicht gegeben. Scheinbar ist bei denen das Marketing am Ruder und schiebt jeden Mist, den man sich vorstellen kann, auf die Windows 10-Systeme.

Auf meinem Testsystem ist die App definitiv nicht installiert – bei der Suche nach 'Kee' per Startmenü wird mir nur der Store-Eintrag angezeigt. Spannende Frage: Ist jemandem von Euch die Keeper-App unter Windows 10 installiert worden? Das Ganze wurde zwar m.W. nicht aktiv ausgenutzt. Aber unter diesem Blickwinkel erhält die Aussage des Microsoft Marketing 'Windows 10, das sicherte Windows aller Zeiten' schon ein arges Geschmäckle. Oder wie seht ihr das?

Inzwischen habe ich diverse Leserrückmeldungen erhalten, wo die App ohne wissentliche Aktion der Nutzer plötzlich da war. Auch hier meldet sich ein deutscher Benutzer mit dem Fund. Eine Präzisierung der Geschichte ist in diesem heise.de-Kommentar zu finden.

Was sagt Microsoft dazu?

Ich fand es schon erstaunlich – auf FB und auf einer anderen Site kam sofort die Nachfrage 'ist es sicher, dass die App von Microsoft in Windows 10 kam?' (es wurden OEM-Builds und was weiß ich ins Spiel gebracht) und 'ist bei Microsoft mal nachgefragt worden?' – auf den Reflex 'Google ist viel schlimmer' gehe ich mal gar nicht ein.

Die Aussage von Tavis Ormandy ist klar: Er hat eine frische Installation über ein MSDN-Windows 10-Installationsabbild in einer virtuellen Maschine aufgesetzt und fand dort die App vorinstalliert vor. Da gibt es imho wenig zu interpretieren.

Zum Thema 'nachfragen bei Microsoft': Das ist ein unerquickliches Feld – ich habe keinen Kontakt direkt in den USA – und Fragen an die Presseabteilung bei Microsoft Deutschland verlaufen i.d.R. im Sande (es steht noch eine Antwort auf eine Anfrage wegen der obskuren Mobile-Aktivierungs-Site für Office seit vielen Monaten offen, wo ich auf Nachfragen nicht mal eine Antwort erhalte). Bei Arstechnica hat man einen besseren Draht zu Microsoft und hat wohl Antworten erhalten. Zitat:

Microsoft officials declined to say what testing it gives to third-party apps before they're pre-installed, and by some accounts these apps are repeatedly reinstalled against users' wishes even after being uninstalled. Microsoft representatives also declined to say what conditions caused Windows 10 computers to install the app.

In a statement, the representatives wrote: "We are aware of the report about this third-party app, and the developer is providing updates to protect customers."

Da kann man sich seinen eigenen Reim drauf machen – die haben faktisch nix zum Thema gesagt, sondern spielen 'die nichts sagen'-Karte. Ich sage es mal so: Natürlich können Fehler passieren. Das Problem an der Thematik ist aber folgendes: Microsoft will Windows 10 und dessen Features an Nutzer bringen, die gerade einmal einen PC einschalten und mit der Maus klicken können. Wenn dann solche Apps im Beipack ausgerollt werden, ist Microsoft mit im Boot, wenn was schief geht. Generell ist es eh keine wirklich gute Idee, überhaupt Apps mit auszurollen – die kann ja jeder Nutzer nach Gusto aus dem Store nachinstallieren.

Nachtrag: Inzwischen hat Keeper Security Arstechnica und Dan Goodin, den Autor des Artikels auf löschen verklagt. Siehe Keeper Security verklagt Dan Goodin wegen Keeper-Artikel

Ähnliche Artikel
Fortinets VPN-FortiClient verrät Anmeldedaten
Windows 10 V1709: SSH-Client und Server (Beta)
Wir kommen später: Windows 10 Sets und diverse ARM-Geräte
Windows 10: Multimonitor-Bug im Dezember 2017-Update?
Windows 10: Ärger mit Huawei E3372 & Co. Surfsticks
Windows 10: Media Feature Pack fehlt bei iCloud-Installation


Anzeige

Dieser Beitrag wurde unter App, Sicherheit, Windows 10 abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Windows 10: Unsicherer Passwort-Manager-App eingeschleust

  1. Wolfgang Schneider sagt:

    Habe das Ding mal im Store suchen lassen. Bedeutet also, ich habe es
    nicht auf dem Rechner.

    https://tinyurl.com/lobrcez

  2. Frank von der Heyde sagt:

    Moin,
    auch ich habe die APP bei meinen Kacheln gefunden.
    Läßt sich aber mit rechtsklick und der AUswahl deinstllieren entfenen.

    Schönes WE und viel Erfolg

  3. Günter Born sagt:

    Ich habe auf FB eine zweite Nutzerrückmeldung, dass die App wohl mit dem Funktionsupdate auf Windows 10 Fall Creators Update (V1709) automatisch mitgekommen ist.

  4. Mir ist bis heute eh schleierhaft was an einer App aus dem Microsoft Store anders ist als an einem Programm, außer das nach einer gewissen Zeit die Kostenlosen Apps aus dem Store beginnen irgendwo Werbung einzuschleusen.

    Was ist daran so Unklar ist, wie Apps plötzlich in eine frische Windows 10-Installation aus einem Microsoft-Abbild kommen, Diverse Apps werden mit installiert egal ob nützlich, ob du sie haben willst oder nicht. Genauso wenig wie diese Super Tolle 3D Paint App bei der uns sogar die TV Werbung glauben machen möchte wie Toll und einfach sie sein soll.

    • der_Puritaner sagt:

      Ich hab jetzt einfach eine Liste für Powershell da wird zunächst abgefragt welche apps überhaupt installiert sind, die dann zum deinstallieren ausgewählt werden können das ist aber nur für den einzelnen User möglich, natürlich lässt sich auch der ganze App Crap inkl. Store mit allem Drum und dran via Powershell deinstallieren dann ist mit Apps auch komplett gar nichts im Gange.
      ich wollte eigentlich neulich nur diese Smartscreen deaktivieren und plötzlich war der ganze Defender dienst verschwunden also man kann das nicht auf einem Aktivsystem Simulieren von einer VM rate ich natürlich auch immer wieder ab. es ist ganz praktisch ein bisschen zu experimentieren da weiß man dann was geht und wo man lieber nicht dran rumschraubt.

  5. Nobody Private sagt:

    Also bei mir ist beim Update nix mitgekommen. Hatte von einem ISO-Abbild installiert.

  6. Tim sagt:

    Ich musste gerade auch ein System mit einer frisch gesaugten ISO installieren und nein, Keeper ist "noch" da wo es sein soll (oder sollte es erst gar nicht dort sein?)… im Store.

    Ich versteh einfach nicht, was dieses vorinstallieren von CandyCrush, Keeper und Co für einen Sinn macht? Das Zeug brauchen ganz wenige und der Rest ärgert sich höchstens darüber, oder lässt den Mist direkt links liegen.

    Sowas wie Keeper dann links liegen, aber im Hintergrund laufend auf der Platte zu lassen ist scheinbar auch wieder eine ganz tolle Idee.

    Deinstallieren sieht bei den meisten auch nur so aus, das der Mist nur aus dem Windows Konto verschwindet, aber auf der Platte liegen bleibt. So gesehen ist deinstallieren bei Apps unter Windows schon Irreführung. Das Apps immer wieder mal neu auftauchen, ist doch spätestens nach jedem größeren Update vollkommen normal!

    Dafür gibt es doch den Store um darin nach Apps zu stöbern, die man dann vielleicht auch nutzen will. Ist der Store nun ein Werkzeug, oder doch nur Spielzeug für Marketing und Verkäufer?

    Parallel hab ich gerade ein System in den Fingern, dessen Rückrat vollkommen gebrochen wurde, weil es nur sehr selten im Monat betrieben wird… In der kurzen Zeit die es dann läuft, laufen dann Updates, Virenprüfungen, defragmentierungen, die Wartung, App-Aktualisierungen und weiß die Hölle was alles und der Kasten ist schlicht Stundenlang unbenutzbar… Das Ding steht gefühlt und reagiert auf gar nichts mehr, während die Festplatte Suizid-Gedanken plagen… Da kommt nicht mal mehr die Kack Startmenü App, oder schließt sich, wenn doch mal, direkt wieder…

    Windows 10 ist so richtig genial! So kaputt waren Systeme früher nur durch Nutzer, aber nicht, weil sie nur selten eingeschaltet werden um ein-, zwei Aufgaben zu erfüllen!

    • Seita sagt:

      Genau diese geschilderte Problem mit dem Rechner der selten genutzt wird habe ich auch und deshalb finde ich W10 so schei…. .
      Brauche den Rechner nicht jeden Tag und wenn ich ihn dann mal anmache muß ich dann immer erst abwarten bis sich Windows aktualisiert hat.
      Eigentliche Sache die ich machen wollte 5 Minuten, warten bis man arbeiten kann ca.40 Minuten.
      Da habe ich schon gar keine Lust das Ding überhaupt anzumachen.
      Zum Glück habe ich noch einen anderen Rechner mit Win 7.(der aber mitlerweile durch das ganze Update gedöns auch immer langsamer wird)
      Dat macht kenen Spaß mehr.

      • Micha sagt:

        Da mache ich mir ja sorgen. Habe Windows 10 x64 1709 Test halber mal auf einer alten 120GB Western Digital Festplatte aus dem Jahr 2004 Installiert. Die hängt an einer PCI-E IDE Controller Karte. Geschätzte 60MB Datendurchsatz bei 12,6ms zugriffszeit.

        Nutze die Testinstallation aber nur sehr selten. Meistens wenn etwas auf Windows 7 Professional x64 nicht funktioniert. Das dann auf einen anderen OS gegentesten bringt manchmal Erkenntnisse wie man den Fehler unter Windows 7 löst.

        Da freue ich mich doch auf das warten nach dem nächsten Update.

        Wann lernt MS eigentlich mal wieder das, dass Werksseitige Zubehör eines Windows 2000/ Windows XP vollkommen ausgereicht hat.

        • Tim sagt:

          Ja viel Spaß… die Festplatte ist unter Win10 ein echtes Nadelöhr geworden und SSDs wohl praktisch sowas wie Pflichtprogramm.

          Hat eigentlich wer mal Erfahrungen mit Hybridplatten gesammelt? Für Systeme wo nur ein Laufwerk passt? Bringen die was sie versprechen?

          Das geht ja schon beim spielen los, wenn Pagefile, Swapfile und Schaderchaches vom Grafiktreiber und Spiel neben den Leveldaten und Co gleichzeitig von der Platte gelesen werden, während der Rest im Hintergrund werkelt, außer der neue tolle Gamemode tut, was er soll… wer sich da noch über Laggs wundert, dem kann geholfen werden, zumindest erklärt.

  7. Herr IngoW sagt:

    Die Keeper-Testseite: "https://lock.cmpxchg8b.com/keepertest.html" wird bei mir gleich erstmal als gefährlich blockiert!
    Von Norton Identity Safe

  8. Christoph Gierl sagt:

    Sind denn jetzt die aktuellsten Win10-ISOs von Microsoft "sauber"?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.