Уязвимость в Google Chrome позволяет получить неограниченный доступ к паролям пользователей

image

Теги: уязвимость, Google Chrome, пароль

Руководитель команды разработчиков браузера знает о существовании данной бреши, однако не намерен ее устранять.

В браузере Google Chrome была обнаружена серьезная уязвимость, благодаря которой любой пользователь компьютера может просмотреть пароли владельца ПК: к электронной почте, социальным сетям и пр., непосредственно с панели настроек web-обозревателя. При этом для их просмотра вводить мастер-пароль не нужно.

Для просмотра паролей необходимо нажать на кнопку «Настройки», зайти в раздел «Показать дополнительные настройки», а затем – «Управление сохраненными паролями» в разделе «Пароли и формы».

В отдельном диалоговом окне откроется список сохраненных паролей. Примечательно, что вначале пароли скрыты, однако при нажатии на кнопку «Показать» вместо точек отображается текстовый вариант пароля, который можно копировать и всячески использовать.

Руководитель команды разработчиков web-обозревателя Джастин Шух (Justin Schuh) сообщил, что ему было известно о существовании данной бреши, однако он не планировал ее устранять. Это заявление возмутило Тима Бернерса-Ли (Tim Berners-Lee), изобретателя Всемирной паутины. В своем блоге в Twitter британский ученый написал: «как заполучить все пароли старшей сестры… и разочаровывающая реакция команды Chrome».

Эллиотт Кембер (Elliott Kember), обнаруживший брешь, заявил: «В мире, где Google рекламирует свой браузер на YouTube, в анонсах кино и на билбордах, чистая аудитория обозревателя – это не разработчики, а пользователи. Подавляющее большинство. Они не знают принципа работы. Они не ожидают, что пароли можно просмотреть так легко. Каждый день, миллионы обычных пользователей сохраняют свои пароли в Chrome. Так не должно быть».

Отметим, что Google Chrome входит в тройку лидеров среди web-обозревателей. Первые позиции занимают Internet Explorer от Microsoft и Mozilla Firefox. У них были обнаружены подобные уязвимости, однако компании сразу же выпустили исправления.

В блоге Hacker News Шух написал: «Нас неоднократно спрашивали, почему мы просто не внедрим поддержку мастер-пароля или чего-то в этом роде, даже если мы не верим, что он может работать. Мы обсуждали этот вопрос раз за разом и всегда приходили к выводу, что не хотим предоставлять пользователям чувство ложной безопасности и поощрять рискованное поведение. Мы хотим четко заявить, что, когда вы предоставляете кому-то доступ к своей учетной записи пользователя ОС, они могут получить доступ ко всему».

Несмотря на столь твердую позицию со стороны создателей Chrome, многие ИБ-эксперты очень возмущены подобным поведением. «Если вы можете просматривать пароли, это значит, что их можно расшифровать. Соответственно, злоумышленники могут разработать троян для похищения этих паролей, не уведомляя об этом пользователей», - возмутился менеджер отдела ИТ-безопасности одного из издательств.


или введите имя

CAPTCHA
Страницы: 1  2  3  4  
Грек
07-08-2013 17:09:45
Почему только Гугл Хром? В Файрфоксу как была возможность отобразить пароли, так и осталась, ничего не исправили (и правильно сделали).
0 |
Андрей
08-08-2013 06:00:25
Да ну? Настройки - защита - установить(сменить) мастер пароль? После этого, установки и защиты мастер паролем в ФФ, например такие проги "восстановления" как "Multi Password Recovery" идут лесом по "напоминанию" сохраненных паролей в ФФ. Собственно, незащищенность паролей в Хроме, в свое время стала основной причиной отказа в его постоянном использовании. Так, только иногда глянуть Хромом с чистым кэшем на выдачу поисковиков и ранжирование сайтов, к примеру, после ctrl+shift+del очистить всю за всё и закрыть.
0 |
кэп
07-08-2013 17:10:01
хранить пароли в браузере изначально не безопасно...
0 |
Прохожий
09-08-2013 13:13:19
хранить пароли где либо, кроме головы, не безопасно.
0 |
BeLove
07-08-2013 17:48:07
Эллиотт Кембер (Elliott Kember), обнаруживший брешь,Хочется биться головой об стол. Осталось назвать его еще хакером!
0 |
22884
08-08-2013 05:40:12
Кстати да,это хакер получается.
0 |
BeLove
07-08-2013 17:48:50
И монитор приделать
0 |
happywalrus
07-08-2013 18:22:54
любой пользователь компьютера может просмотреть пароли владельца ПКЭто неправильный перевод новости, все-таки не любой. Вся суть претензии автора, что пароли можно посмотреть по одной короткой ссылке "chrome://settings/passwords", и они там (внезапно!) хранятся в доступном виде. Как принято говорить, I don't see how this is a vulnerability. Я так храню пароли к всяким бесполезным сайтам и форумам, более того, по сути один пароль - он везде одинаковый. В личной модели угроз оцениваю ущерб от этого по сути как нулевой. ОК, у других браузеров есть мастер-пароль к менеджеру паролей, но в ФФ его вроде надо было вводить только при первом обращении к хранилищу паролей.
0 |
12-08-2013 12:19:22
> I don't see how this is a vulnerability Чего ещё ожидать от представителей компании, последовательно уничтожающей само понятие приватности. > В личной модели угроз оцениваю ущерб от этого по сути как нулевой. Ну, это в Вашей личной модели. Я согласен, что хранить ответственные пароли в браузере - это опасно, но это факт, и с ним приходится мириться. Гуглу же на безопасность плевать всегда было, есть, и будет. Чего стоит приснопамятный отказ от проверки цепочки сертификатов в их недобраузере... ну, подумаешь, MitM становится тривиальным, зато ололо-https-открывается-быстрее-чем-в-проклятом-ие-хром-круто-ие-гамно, да-да. Интересно, они убрали этот параметр по умолчанию, или он до сих пор остался в позиции "не проверять"? > но в ФФ его вроде надо было вводить this. Его надо было вводить, пусть даже раз.
0 |
Страницы: 1  2  3  4