image

Windows 10 Verteller kan data op vergrendelscherm lekken

vrijdag 27 januari 2017, 11:38 door Redactie, 5 reacties

De Vertellerfunctie van Windows 10, die tekst op het scherm voorleest, kan gekopieerde data via het vergrendelscherm lekken. Als een gebruiker bijvoorbeeld een wachtwoord kopieert en zijn computer vergrendelt, is de inhoud van het klembord via de Verteller op het vergrendelscherm terug te halen.

Dat ontdekte beveiligingsexpert Oddvar Moe, die eerder al aantoonde hoe gekopieerde data via het veld van het wifi-wachtwoord op het vergrendelscherm zijn te achterhalen. Moe waarschuwde Microsoft, maar de softwaregigant beschouwt het niet als een beveiligingslek aangezien een aanvaller fysieke toegang tot de computer moet hebben. Toch hoopt de beveiligingsexpert dat Microsoft het probleem in de toekomst verhelpt. In de tussentijd kan de Verteller via een access control list (ACL) worden uitgeschakeld.

Image

Reacties (5)
27-01-2017, 13:13 door karma4
Een wachtwoord kopieert.... Ja waar vandaan en dat is safe practice?
27-01-2017, 16:02 door Anoniem
Door karma4: Een wachtwoord kopieert.... Ja waar vandaan en dat is safe practice?

Dat iets niet "safe practice" is betekend ook niet dat niemand het doet.
27-01-2017, 16:25 door Anoniem
Ik kwam er laatst achter dat als ik mijn sleutels op straat verlies onbekende deze kunnen opraken. Als ze mij dan volgen weten ze waar ik woon en zonder toestemming van mij toegang tot mijn huis verschaffen. Ik heb de stratenmakers aan gesproken op dit lek, maar die waren niet onder de indruk.
27-01-2017, 16:32 door Anoniem
Door karma4: Een wachtwoord kopieert.... Ja waar vandaan en dat is safe practice?
Nou dat gebruik ik regelmatig!

Als ik een ergens een wachtwoord wil invoeren (om het te maken, niet om het te gebruiken), start ik eerst "kladblok". Daar tik ik mijn wachtwoord in zodat ik kan controleren of het correct getikt is. Dan kopieer ik het met ALT-C en plak het met ALT-V in het betreffende wachtwoordvenster. De verificatie tik ik dan gewoon via het toetsbord in.

Na gebruik sla ik het kladblok niet op. Dat betekent dat het betreffende wachtwoord alleen ergens in het geheugen staat en niet op de HD (want ik heb ruim voldoende geheugen en dus zal er vrijwel nooit iets in de pagefile komen te staan). Na uitzetten van de PC is het geheugen schoon en kan niemand dat wachtwoord nog achterhalen.

Ik gebruik dat echter niet in combinatie met een 'verteller' (heb ik gelukkig niet nodig). En al helemaal niet in Win10 want ik zit nog steeds op Win7.
27-01-2017, 19:00 door karma4
Door Anoniem: Nou dat gebruik ik regelmatig!
..
Ik gebruik dat echter niet in combinatie met een 'verteller' (heb ik gelukkig niet nodig). En al helemaal niet in Win10 want ik zit nog steeds op Win7.
Eerlijk gezegd dat doe ik thuis ook. Afgeschermde ruimte en als ik de medebewoners niet kan vertrouwen is er een groter probleem. Op het werk is dat nada nada. Daar zie ik so wie so zaken die met goed fatsoen niet correct kan noemen. Mismatch tussen de vloer en de ICT, er wordt aan gewerkt al is het kansloos om perfect te krijgen.
Die verteller is voor behinderden, laten we hopen dat we dat niet nodig krijgen. Stemherkenning zou iets zijn als authenticatie maar graag geheel lokaal. Het is iets anders dan het doel spraak-bediening.

Nu viel me laatst iets raars op. Ik wilde code plakken van een notedpad naar een tool. Kreeg ik een boel onverwachte tekst. Die bleek afkomstig te zijn van een popup achter het zichtbare scherm van de zichtbare applicatie(tool). Van deze weet ik dat oa met .NET gemaakt is. Dat was onder W7. Nee ik geloof niet dat het een w10 issue is meer een popup issue.

Ooit er wat dieper op ingedoken toetsenbord en scherm zijn aparte bronnen waar je een koppeling naar hebt. Die koppeling hoeft er niet altijd te zijn. Zeer lastig als het programma zoiets wel verwacht. Een copy-paste functie met alle buffers heeft de bedoeling dat alle tools/applicaties daar iets in kunnen delen. Dat de copy-paste dan iets kan aanspreken wat je niet verwacht hoort niet maar is uit de aard van de functie niet uit te sluiten. Hij is immers vanuit het ontwerp doel gedeeld....

De popups gedragen onder elk OS verassend, ze horen de primaire focus te krijgen maar verdwijnen soms er achter. Een mismatch tussen proces-prio en presentatie. Daar kom je met Windows nog wel uit verzetten van de schermen lukt wel.
Krijg je zoiets onder X11 dan moet al veel meer uit de kast gaan halen. In een 3270 benadering ben je echt kansloos.
Het valt me op de java applicaties met de focus en presentatie vaker kuren vertonen dan wat anders. Zal wel te maken hebben dat het een Virtuele machine is die wat naar buiten kwijt moet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.