Wanneer iemand meldt een kwetsbaarheid die vereist lokale toegang tot een systeem, een discussie losbarst over de vraag of dat echt een kwetsbaarheid die gerepareerd moet worden.
De ene kant betoogt dat het, gezien het feit dat er tal van manieren waarop iemand kan krijgen lokale toegang tot een apparaat. De andere kant betoogt dat is het niet, als een aanvaller kan doen wat op de machine toch met lokale toegang (op de gebruikers).
Een probleem in Chrome geopenbaard werd onlangs door Lior Margalit op Medium dat kan iedereen met de lokale toegang tot een systeem met Chrome te stelen van opgeslagen gegevens van de account van de gebruiker.
Een voorwaarde is dat de werkelijke behoeften van gebruikers zijn aangemeld bij een Google-account. Als dat het geval is, kan een aanvaller gebruik maken van de methode om te stelen van een sync-gegevens van de account, inclusief wachtwoorden, formulierveld gegevens, bladwijzers of in de browsergeschiedenis.
De problematische ding over dit is dat dit betekent dat er geen toestemming dan ook. In principe, wat de aanvaller moet doen is een teken uit de feitelijke gebruiker, en meld u aan met een andere Chrome-account. Chrome geeft een aanwijzing dan de gebruiker toe te voegen bladwijzers, geschiedenis, wachtwoorden en andere instellingen naar de nieuwe account.
Aangezien de gegevens gesynchroniseerd met de nieuwe account, het is nu mogelijk om toegang te krijgen tot alle opgeslagen gegevens, zoals wachtwoorden op chrome://settings/?zoeken=wachtwoord op elk apparaat dat je aanmelden voor een nieuwe account. Het proces zelf duurt minder dan een minuut om te voltooien
Lior meldde het probleem aan Google melden en ontvangen van een “niet-fix” antwoord door de vennootschap volgens het artikel.
Het proces in zijn geheel:
- Ga naar chrome://settings/manageProfile.
- Klik op “bewerken persoon bewerken”.
- Selecteer “afmelden”.
- Klik op “sign in”.
- Inloggen met een ander Google-account.
- Selecteer “dit was voor mij” toen hem gevraagd werd over de vorige Google-gebruiker die gebruikt Chrome op de machine.
- De gegevens gesynchroniseerd met de geselecteerde account.
- Ga naar chrome://settings/?zoeken=wachtwoord te bladeren wachtwoorden op een computer met Chrome op voorwaarde dat u bent aangemeld met de nieuwe account.
Lees ook: Firefox 58: Mozilla zal verzamelen slechts base Telemetrie gegevens (release channel)
Het hele proces duurt niet langer dan een minuut te voltooien.
Slotwoord
De beste bescherming tegen het probleem is nooit te laat uw apparaat zonder uitschakelen of vergrendelen. Een andere optie die je hebt is om niet aanmelden met een Google-account. Dit vermindert de functionaliteit die wel kunnen sommige gebruikers niet willen om dit te doen.
Er zijn andere middelen om gegevens te stelen uit een apparaat als lokale toegang is beschikbaar. Niets is het stoppen van een gebruiker van de opening van het wachtwoord vermelding in Chrome direct bijvoorbeeld
Ik denk dat Google moet een fail safe in het proces, bijvoorbeeld door te vragen de gebruiker om het wachtwoord van de account om door te gaan met het samenvoegen van gegevens.
Nu U: Wat is uw mening over dit?