Zranitelnost ve Windows 7 a 8 umožňuje, aby si útočník přečetl nápovědu k heslu

24. 8. 2012

Zranitelností se ve Windows každý rok najde docela dost, tentokrát si někdo dal tu práci, aby zjistil jeden lehce znepokojivý fakt. Operační systémy od Microsoftu, jak sami dobře víte, vám při vytváření hesla nabídnou, abyste si k němu vytvořili nápovědu. Ta vám pak pomůže oživit paměť, kdybyste náhodou heslo ke svému účtu zapomněli. (Těžko říct, jak se to může stát, pokud počítač používáte aspoň obden, ale budiž. Nápověda je vám přirozeně málo platná, pokud si necháte vygenerovat náhodnou sekvenci znaků.) Ať už si o funkci myslíte cokoli, její použití může vést útočníka ke snazšímu odhalení samotného hesla.

Přinejmenším Windows 7 a čerstvá Windows 8 totiž nápovědu ukládají do registru v takovém formátu, že je velmi snadné ji převést do čitelné podoby. Pokud jste čekali, že bude informace pořádně zašifrovaná, mýlili jste se. Rozlousknutí nápovědy prý trvá chvilku, naznačuje výzkumník Jonathan Claudius ze SpiderLabs. Když v registru poprvé zahlédl změť čísel a písmen, myslel, že bude nápověda zašifrovaná. Ke svému překvapení zjistil, že skript o osmi řádcích dokáže text dekódovat.

Nápovědu k heslu si již dříve mohl přečíst kdokoli, kdo má fyzický přístup k počítači, nové informace ale otevírají bránu útočníkům z internetu. Ti pak mohou heslo snáze prolomit. Možná byste tedy měli zvážit, jestli nápovědu použít. A jestli k tomu nezvolit nějaké komplexnější heslo.