Chaque fois que quelqu’un signale un problème qui nécessite l’accès local à un système, à une discussion éclate au sujet de savoir si c’est vraiment un problème qui a besoin de fixation.
D’un côté fait valoir qu’il est, considérant qu’il existe de nombreuses façons que quelqu’un pourrait obtenir l’accès local à un périphérique. De l’autre côté fait valoir qu’il n’est pas, comme un attaquant peut rien faire sur la machine de toute façon avec accès local (à l’utilisateur).
Un problème dans Chrome a été révélé récemment par Lior Margalit Moyen qui permet à toute personne disposant d’un accès local à un système exécutant Chrome pour voler des données enregistrées dans le compte d’utilisateur.
Une condition préalable à cela est que l’utilisateur doit être connecté à un compte Google. Si c’est le cas, un attaquant peut utiliser la méthode de voler les données de synchronisation du compte, y compris les mots de passe, formulaire de données de terrain, des signets, ou l’historique de navigation.
La problématique, c’est que cela ne nécessite aucune autorisation que ce soit. Fondamentalement, ce que l’attaquant a besoin de faire est de déconnecter l’utilisateur réel, et se connecter avec différents Chrome compte. Chrome affiche une invite de commandes, puis ajouter de l’utilisateur, les signets, l’historique, les mots de passe et d’autres paramètres pour le nouveau compte.
Puisque les données sont synchronisées sur le nouveau compte, il est maintenant possible d’accéder à toutes les données stockées, par exemple, des mots de passe sur chrome://settings/?search=mot de passe sur n’importe quel appareil que vous ouvrez une session avec un nouveau compte. Le processus lui-même prend moins d’une minute
Lior signalé le problème à Google et a reçu un “ne sera pas résolu” réponse de la société selon l’article.
Le processus dans son intégralité:
- Accédez à la page chrome://settings/manageProfile.
- Cliquez sur “modifier”.
- Sélectionnez “déconnexion”.
- Cliquez sur “se connecter”.
- Connectez-vous en utilisant un autre compte Google.
- Sélectionnez “c’était moi” lorsqu’on l’interroge sur le précédent utilisateur de Google qui a utilisé google Chrome sur la machine.
- Les données sont synchronisées sur le compte sélectionné.
- Accédez à la page chrome://settings/?search=mot de passe pour parcourir mots de passe sur un ordinateur exécutant Chrome à condition que vous vous êtes inscrit avec le nouveau compte.
Lire aussi: Firefox 58: Mozilla recueillera seulement de la base de données de Télémétrie (canal de libération)
L’ensemble du processus ne prend pas plus de une minute.
Le Mot De La Fin
La meilleure protection contre la question est de ne jamais laisser l’appareil sans l’arrêter ou de le verrouiller. Une autre option que vous avez est de ne pas vous connecter en utilisant un compte Google. Cela réduit la fonctionnalité, cependant, et certains utilisateurs peuvent ne pas envie de le faire.
Il y a d’autres moyens pour voler des données à partir d’un périphérique si l’accès local est disponible. Rien n’empêche un utilisateur d’ouvrir le mot de passe d’inscription directement dans Chrome par exemple
Je pense que Google devrait ajouter un fail safe dans le processus, par exemple en demandant à l’utilisateur de saisir le mot de passe de l’autre compte pour procéder à la fusion de données.
Maintenant, Vous: Quel est votre avis sur cela?