När någon rapporterar ett problem som kräver lokal tillgång till ett system, en diskussion bryter ut om huruvida det är verkligen ett problem som behöver åtgärdas.
Den ena sidan hävdar att det är, med tanke på att det finns många sätt att någon skulle kunna få lokal tillgång till en enhet. Den andra sidan hävdar att det är inte, som en angripare kan göra något på den maskinen i alla fall med lokal åtkomst (på användarens nivå).
Ett problem i Chrome avslöjades nyligen av Lior Margalit på Medium som gör att vem som helst med lokal tillgång till ett system som kör Chrome för att stjäla data som sparats från användarens konto.
En förutsättning är att den faktiska användaren behöver vara inloggad på ett Google-konto. Om så är fallet, att en angripare kan använda metoden för att stjäla någon synkronisera data från kontot, inklusive lösenord, form fältdata, bokmärken, webbhistorik.
Det problematiska med detta är att det kräver inga tillstånd alls. I grund och botten, vad angriparen behöver göra är att logga ut från den faktiska användaren och logga in med hjälp av en annan Chrome-konto. Chrome visas en prompt och sedan lägga till användarens bokmärken, historik, lösenord och andra inställningar till det nya kontot.
Eftersom de data som är synkroniserade till det nya kontot, det är nu möjligt att komma åt alla lagrade data, t ex lösenord på chrome://settings/?sök=lösenord på alla enheter du loggar in med det nya kontot. Själva processen tar mindre än en minut att slutföra
Lior rapporterade problemet till Google och fick en “won’ t fix” som svar av bolaget enligt artikeln.
Processen i sin helhet:
- Gå till chrome://settings/manageProfile.
- Klicka på “redigera person”.
- Välj “logga ut”.
- Klicka på “logga in”.
- Logga in med ett annat Google-konto.
- Välj “det var jag” när jag frågade om den tidigare Google-användare som använt Chrome på maskinen.
- De uppgifter som är synkroniserad med det markerade kontot.
- Gå till chrome://settings/?sök=lösenord för att bläddra lösenord på vilken dator som kör Chrome, förutsatt att du har loggat in med det nya kontot.
Läs också: Firefox 58: Mozilla kommer att samla in bara bas Telemetri data (release kanal)
Hela processen tar inte längre än en minut att slutföra.
Avslutande Ord
Det bästa skyddet mot frågan är att aldrig lämna din enhet utan att stänga eller låsa den. Ett annat alternativ som du har är att inte logga in med ett Google-konto. Detta minskar funktionalitet dock och vissa användare kanske inte vill göra detta.
Det finns andra sätt att stjäla data från en enhet om lokal access är tillgängliga. Ingenting hindrar en användare från att öppna lösenord notering i Chrome direkt exempelvis
Jag tror att Google ska lägga till ett felsäkert till processen, till exempel genom att be användaren att ange lösenordet för det andra kontot för att gå vidare med sammanslagning av data.
Nu är Du: Vad är din syn på detta?