Immer, wenn sich jemand meldet eine Schwachstelle, die erfordert, dass der lokale Zugriff auf ein system, eine Diskussion ausbricht, ob es wirklich das ist eine Schwachstelle, die Befestigung benötigt.
Die eine Seite argumentiert, dass es ist, wenn man bedenkt, dass es gibt zahlreiche Möglichkeiten, jemanden gewinnen konnten, der lokale Zugriff auf ein Gerät. Die andere Seite argumentiert, dass es nicht, wie ein Angreifer kann alles machen auf der Maschine sowieso mit local access (Benutzer-level).
Ein Problem in Chrome aufgedeckt wurde kürzlich von Lior Margalit auf Medium, mit dem sich jeder Benutzer mit lokalen Zugriff zu einem system mit Chrome zu stehlen, gespeicherte Daten aus dem Benutzerkonto.
Eine Voraussetzung dazu ist, dass der aktuelle Benutzer muss angemeldet sein, um ein Google-Konto. Wenn das der Fall ist, kann ein Angreifer die Methode verwenden, um zu stehlen alle sync-Daten aus dem account, inklusive Passwörter, Formulareingaben, Lesezeichen oder den Browserverlauf.
Das problematische daran ist, dass dies erfordert keine Autorisierung zu löschen. Im Grunde, was der Angreifer tun muss, ist sich abzumelden den aktuellen Benutzer, und melden Sie sich mit einer anderen Chrome-Konto. Chrome zeigt eine Eingabeaufforderung an, dann zu denen der Benutzer Hinzugefügt Lesezeichen, Verlauf, Passwörter und andere Einstellungen auf das neue Konto.
Da die Daten synchronisiert auf das neue Konto, es ist jetzt möglich, Zugriff auf alle gespeicherten Daten, z.B. Passwörter in chrome://settings/?Suche=Kennwort auf jedem Gerät, das Sie anmelden mit dem neuen Konto. Der Prozess selbst dauert weniger als eine minute in Anspruch
Lior berichtet das Problem an Google und erhalten eine “won’ T fix” Antwort des Unternehmens nach dem Artikel.
Das Verfahren in seiner Gesamtheit:
- Gehen Sie zu chrome://settings/manageProfile.
- Klicken Sie auf “person Bearbeiten”.
- Wählen Sie “Abmelden”.
- Klicken Sie auf “sign in”.
- Melden Sie sich mit einem anderen Google-Konto.
- Wählen Sie “das war ich”, wenn gefragt, über die bisherige Google-Nutzer, verwendet Chrome auf dem Rechner.
- Die Daten synchronisiert das ausgewählte Konto.
- Gehen Sie zu Chrom://Einstellungen/?Suche=Passwort durchsuchen Passwörter auf jedem Computer ausgeführt Chrome vorausgesetzt, Sie sind angemeldet mit dem neuen account.
Lesen Sie auch: Firefox 58: Mozilla sammelt nur Basis-Telemetrie-Daten (release channel)
Der ganze Prozess dauert nicht länger als eine minute in Anspruch.
Schlusswort
Der beste Schutz gegen die Frage ist, nie verlassen Ihr Gerät ohne Vorheriges Herunterfahren oder sperren es. Eine weitere option, die Sie haben, ist sich nicht anmelden mit einem Google-Konto. Diese Funktionalität reduziert jedoch und einige Benutzer vielleicht nicht wollen, dies zu tun.
Es gibt andere Mittel, um Daten zu stehlen aus einem Gerät, wenn der lokale Zugang möglich ist. Nichts hindert einen Benutzer aus der öffnung der Passwort-Liste in Chrome direkt zum Beispiel
Ich denke, Google sollte ein fail-safe für den Prozess, zum Beispiel, indem der Benutzer gefragt wird, geben Sie das Kennwort des anderen Kontos, um fortzufahren mit der Zusammenführung von Daten.
Jetzt Sie: Was ist Ihr nehmen auf das?