Ogni volta che qualcuno segnala una vulnerabilità che richiede l’accesso locale a un sistema, scoppia una discussione sul fatto che è veramente una vulnerabilità che ha bisogno di fissaggio.
Un lato sostiene che è, considerando che ci sono molti modi che qualcuno potrebbe ottenere l’accesso a un dispositivo. L’altro lato sostiene che non è, come a un utente malintenzionato può fare nulla sulla macchina, comunque, con accesso locale (a livello di utente).
Un problema in Chrome è stato rivelato recentemente da Lior Margalit sul Mezzo che consente a chiunque con accesso locale a un sistema che esegue Chrome per rubare i dati salvati da un account utente.
Un prerequisito è che l’utente deve essere eseguito l’accesso a un account Google. Se questo è il caso, un utente malintenzionato può utilizzare il metodo per rubare qualsiasi sincronizzazione dati dall’account, incluse le password, dati dei campi modulo, i segnalibri e la cronologia di navigazione.
Il problematico cosa è che questo non richiede alcuna autorizzazione di sorta. In sostanza, l’attaccante deve fare è registrare l’utente, e accedere utilizzando un diverso Chrome conto. Chrome visualizza un prompt poi aggiungere l’utente segnalibri, la cronologia, le password e altre impostazioni per il nuovo account.
Poiché i dati vengono sincronizzati con l’account nuovo, è ora possibile accedere a tutti i dati memorizzati, ad esempio, le password su chrome://settings/?ricerca=password su qualsiasi dispositivo di accesso con il nuovo account. Il processo richiede meno di un minuto per completare
Lior segnalato il problema a Google e ha ricevuto un “non risolve” risposta dalla società ai sensi dell’art.
Il processo nella sua interezza:
- Vai a chrome://settings/manageProfile.
- Fare clic su “modifica persona”.
- Selezionare “esci”.
- Fare clic su “sign in”.
- Accedere utilizzando un account Google diverso.
- Selezionare “questo sono io” quando gli viene chiesto il precedente utente di Google, che ha usato Chrome sulla macchina.
- I dati vengono sincronizzati con l’account selezionato.
- Vai a chrome://settings/?ricerca=password per esplorare le password su qualsiasi computer che esegue Chrome, a condizione che hai effettuato l’accesso con il nuovo account.
Leggi anche: Firefox 58: Mozilla raccogliere solo la base di dati di Telemetria (canale di rilascio)
L’intero processo non impiega più di un minuto per completare.
Parole Di Chiusura
La migliore protezione contro il problema è quello di non lasciare mai il dispositivo senza spegnere o di chiusura. Un’altra opzione che avete è quello di non accedere utilizzando un account Google. Questo riduce la funzionalità, tuttavia, e alcuni utenti potrebbero non farlo.
Ci sono altri mezzi per rubare i dati da un dispositivo, se l’accesso locale è disponibile. Nulla impedisce che un utente apre la password di quotazione in Chrome direttamente, per esempio
Penso che Google dovrebbe aggiungere un fail-safe per il processo, per esempio chiedendo all’utente di immettere la password di un altro account per procedere con la fusione di dati.
Ora È: che Cosa è questo?