Win10中内置的密码管理器会让黑客偷走用户所有的密码

如果用户电脑上安装的操作系统是Win10的话，系统内置的第三方密码管理工具可以让黑客远程盗取用户密码。在Win10（系统版本1607）升级后，微软未经用户允许，就在系统中添加了一个Content Delivery Manager。

谷歌Zero项目的研究人员Tavis Ormandy在上周五的Chromium博客上称，他发现自己新安装的Win10操作系统上有内置的著名密码管理工具“Keeper”，他并不是第一个发现的。一些用户半年前就发现系统中有隐藏的内置密码管理工具。

Keeper密码管理工具的严重漏洞

Tavis Ormandy在发现Win10系统内置了该密码管理工具后开始进行测试，发现了一个重大漏洞，可以让任何网站都能盗取用户电脑上的密码。Keeper在2016年8月也发现了同样的漏洞。Tavis Ormandy为了该漏洞的严重性，还提供了验证代码，可以演示使用Keeper保存推特账号密码后被盗的过程。在将该漏洞上报给Keeper后，表示在本周五发布的新版本中将修复这个漏洞。

该漏洞只会影响12月6日发布的Keeper 11版本应用程序，Keeper公司表示目前没有发现利用该漏洞发起大范围的黑客攻击行为。至于Win10用户，只要不使用Keeper密码管理工具就不会有问题，还可以使用注册表工具禁用Content Delivery Manager防止微软未经允许在系统内安装其他软件。