Уязвимость в Google Chrome позволяет получить неограниченный доступ к паролям пользователей

08.08.2013 | 11:18
В браузере Google Chrome была обнаружена серьезная уязвимость, благодаря которой любой пользователь компьютера может просмотреть пароли владельца ПК: к электронной почте, социальным сетям и пр., непосредственно с панели настроек web-обозревателя. При этом для их просмотра вводить мастер-пароль не нужно.

Для просмотра паролей необходимо нажать на кнопку «Настройки», зайти в раздел «Показать дополнительные настройки», а затем – «Управление сохраненными паролями» в разделе «Пароли и формы».

В отдельном диалоговом окне откроется список сохраненных паролей. Примечательно, что вначале пароли скрыты, однако при нажатии на кнопку «Показать» вместо точек отображается текстовый вариант пароля, который можно копировать и всячески использовать.

Руководитель команды разработчиков web-обозревателя Джастин Шух (Justin Schuh) сообщил, что ему было известно о существовании данной бреши, однако он не планировал ее устранять. Это заявление возмутило Тима Бернерса-Ли (Tim Berners-Lee), изобретателя Всемирной паутины. В своем блоге в Twitter британский ученый написал : «как заполучить все пароли старшей сестры… и разочаровывающая реакция команды Chrome».

Эллиотт Кембер (Elliott Kember), обнаруживший брешь, заявил: «В мире, где Google рекламирует свой браузер на YouTube, в анонсах кино и на билбордах, чистая аудитория обозревателя – это не разработчики, а пользователи. Подавляющее большинство. Они не знают принципа работы. Они не ожидают, что пароли можно просмотреть так легко. Каждый день, миллионы обычных пользователей сохраняют свои пароли в Chrome. Так не должно быть».

Отметим, что Google Chrome входит в тройку лидеров среди web-обозревателей. Первые позиции занимают Internet Explorer от Microsoft и Mozilla Firefox. У них были обнаружены подобные уязвимости, однако компании сразу же выпустили исправления.

В блоге Hacker News Шух написал : «Нас неоднократно спрашивали, почему мы просто не внедрим поддержку мастер-пароля или чего-то в этом роде, даже если мы не верим, что он может работать. Мы обсуждали этот вопрос раз за разом и всегда приходили к выводу, что не хотим предоставлять пользователям чувство ложной безопасности и поощрять рискованное поведение. Мы хотим четко заявить, что, когда вы предоставляете кому-то доступ к своей учетной записи пользователя ОС, они могут получить доступ ко всему».

Несмотря на столь твердую позицию со стороны создателей Chrome, многие ИБ-эксперты очень возмущены подобным поведением. «Если вы можете просматривать пароли, это значит, что их можно расшифровать. Соответственно, злоумышленники могут разработать троян для похищения этих паролей, не уведомляя об этом пользователей», - возмутился менеджер отдела ИТ-безопасности одного из издательств.
уязвимость, Google Chrome, пароль
По материалам securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (2)
  1. Добавлено Виктор 08.08.2013 | 20:14Последние разоблачения Эдварда Сноудена, камня на камне не оставляют от законности американской демократии!
    Мобильная ОС Android якобы от Google это шпионская разработка спецслужб США ЦРУ и АНБ для тотальной слежки за всеми пользователями по всему миру и даже в России!
    Google это ширма, компания подстава из которой торчат огромные уши спецслужб США ЦРУ и АНБ!
    В ходе презентации SE for Android в 2011 году разработчик разведывательного ведомства Агентства национальной безопасности (АНБ) Стивен Смолли (Stephen Smalley) сообщил, что отличительной чертой их продукта Android является способность работать скрытно от владельца устройства.
    Таким образом, все купившие девайсы на Андроиде прямиком попадают в электронные картотеки ЦРУ США, и туда, без ведома пользователя отправляется вся инфа об её владельце!!!
    Вдумайтесь в это и поймите масштабы преступности американской демократии!
    Компания Google была и остаётся полноправным участником программы PRISM, в рамках которой спецслужбам США предоставлялся и продолжает предоставляться полный доступ к личным данным пользователей, в том числе и через браузер Google Chrome, Internet Explorer, Opera!
    Тоже самое и точно также разведывательное ведомство Агентство национальной безопасности (АНБ) вытворяло и продолжает вытворять и с Internet Explorer от Microsoft!
    Microsoft это уже одно из подразделений ЦРУ США и призвано полностью подчинить её интересам в ужерб пользователям!
    Недавний всемирный глобальный скандал с подслушиванием и подглядыванием в интернете за всеми пользователями со всего мира, вскрыл верхушку шпионского айсберга, которое развернуло ЦРУ в нарушение всех международных норм и законов!
    Это американская демократия в действии! Там уже давно верховодит преступное сообщество, а Обама марионетка и ничего от него не зависит!
    Он не в силах прикрыть эту глобальную слежку и преступность со стороны ЦРУ, АНБ и ещё 50-ти спецслужб США!
    Своими преступными щупальцами они покрыли весь мир, кроме России и Китая!
    Купив девайс на Андроиде вы становитесь невольным, в добровольно-принудительном порядке, агентом ЦРУ, который сам на себя стучит и сам себя выворачиывет на изнанку, становясь стукачём благодаря Агентству национальной безопасности АНБ и ЦРУ США!
    Вот в какие игры играет с вами, погрязшая во многих смертных грехах, демократия США!
    Безумцам из ЦРУ США "поёте" вы стукаческие песни, в глобальном андроидном масштабе, в едином агентурном порыве!
    И кто вы теперь с Андроидом? Стучим братцы.. СТУЧИМ.. Денно и Нощно!
    Все 24 часа в сутки!
    Вышвырните этот вшивый цэрэушный Андроид куда подальше и больше с ним не связывайтесь!
    Любое мало мальское подозрение и провокация ЦРУ... и вы загремите в тюрьму с пожизненным сроком, как загремел уже по ложным показаниям агентов ЦРУ гражданин России Виктор Бут.
    С 2008 года по ложным показаниям агентов ЦРУ он подвергается пыткам и издевательствам американского демократического правосудия!!!
    Власти США по ложным обвинениям агентов ЦРУ обвинили Виктора Бута в заговоре с целью убийства граждан США и американских официальных лиц, и в случае признания его вины Буту грозит пожизненное заключение.
    Шантаж со стороны ЦРУ в заговоре с целью убийства граждан США и американских официальных лиц вам стопудово гарантирован!
    Шантаж и фономонтаж ЦРУ из незаконно записанных ваших разговоров сделают своё чёрное преступное дело!
    На примере Виктора Бута они поставят это дело на поток!
    Вот тогда вы уже на своей шкуре испытаете все "прелести" американской демократии!
    А пока... Стучим братцы... СТУЧИМ... Денно и Нощно! Все 24 часа в сутки!
    На кого стучите? На себя стучите... и своих родных и знакомых. На свою голову накликаете беду!
  2. Добавлено Андрей 08.08.2013 | 20:56Ох, Виктор, вам бы свою энергию, да в полезное русло направить. То, что пароли не зашифрованы в браузере - это, конечно же серьёзная уязвимость, но позиция насчёт доступа к своей учётной записи - тоже вполне понятная. Ну по большому счёту, если есть доступ к учётке - можно банально кейлоггер поставить и получить ровно тот же результат. А что касается АНБ и всех остальных - то Гугл это всего лишь частная компания, которая, также как и все остальные вряд ли сможет проигнорировать прямые директивы таких организаций как АНБ или ФБР. Много компаний в РФ, которые способны послать ФСБ при предъявлении требований предоставить доступ к персональным данным клиентов? К тому же большинство пользователей сами радостно сливают все свои данные в открытый доступ в соцсетях.
Оставьте комментарий:CaptchaОбновить проверочный код