Уязвимость в opera позволяет красть пароли сторонних пользователей chrome

      Комментарии к записи Уязвимость в opera позволяет красть пароли сторонних пользователей chrome отключены

Сравнительно не так давно мне необходимо было поработать за чужим ноутбуком. Я предпочитаю трудиться в Opera, которой на этом ноутбуке не было. Я установил ее, синхронизировался со своим облачным аккаунтом, поработал и удалил Opera. Придя к себе и зайдя в Opera уже на своем домашнем компьютере, я к громадному удивлению нашёл чужие пароли и логины от сайтов в совокупности автозаполнения. То же самое наблюдалось на моем втором компьютере.

Иначе говоря при заходе на сайт браузер предлагал мне ввести пароль и логин, каковые мне не принадлежали. А принадлежали они моему привычному и участникам его семьи, у которых я трудился на ноутбуке! Вот, к примеру, как выглядит у меня вход в Gmail. Лишь antorix@gmail.com – мой логин, все остальные принадлежат не мне:

Уязвимость в opera позволяет красть пароли сторонних пользователей chrome

Откуда на компьютере, где тружусь лишь я, браузер знает сетевые реквизиты вторых людей? Несложно осознать, что случилось: в то время, когда я трудился на ноутбуке приятеля, Opera импортировала пароли и логины всех его пользователей, причем импортировала из другого браузера (!), то есть Chrome. Эти реквизиты синхронизировались с моим облачным аккаунтом в Opera и стали дешёвы мне на любом компьютере. Я протестировал вход через эти пароли и смог удачно зайти в Gmail, ВКонтакте и Slack в аккаунты другого человека.

Я связался с Opera и сказал об данной уязвимости. Задав мне несколько вопросов, они признали наличие неприятности. Оказывается, Opera вправду импортирует реквизиты пользователей Chrome на этом же компьютере, и это есть ее штатным поведением. Но ответ разработчиков оставляет не меньше вопросов, чем дает ответов:

This confirms what we suspected; Opera imported all settings from the default browser when it was first run. It then synchronised them when you enabled synchronisation. In such cases, Opera cannot know that you are using it on someone else’s computer, so it will not know that the information on that Windows account is not yours.

Importing by default is something that the Desktop product team have decided to do, since it allows easy migration from other browsers. However, it seems you have bumped into an unwanted side effect. Note though that this behaviour is not considered to have security implications; once you have access to someone else’s account on a computer, you can already do what you like with the data on it, including emailing yourself a copy of their Chrome settings files. (Protecting data from other trusted users of a computer relates to privacy, not security. Security is about protecting data and your computer from a remote attacker who does not have physical access to your computer.)

The part that concerns us is that it does not have a way to ask you which Chrome profiles (when there are multiples) you want to import from — having multiple Chrome profiles is a good hint that there are multiple users, and that the import process needs to ask which profile to import from. We will pass this over to the development team to see what action they want to take.

Перевод:

Это подтверждает отечественные подозрения; Opera импортировала все настройки из браузера по умолчанию при первом запуске. После этого она синхронизировала их, в то время, когда вы включили синхронизацию. В таких случаях Opera не имеет возможности знать, что вы трудитесь на чужом компьютере, исходя из этого она не знает, что информация из этого аккаунта Windows в собственности не вам.

Импорт по умолчанию – это то, что намеренно решила сделать несколько разработчиков настольного продукта, потому, что это снабжает легкую миграцию с вторых браузеров. Но похоже, что вы столкнулись с нежелательным побочным эффектом. Обратите внимание, что это поведение не рассматривается как угроза безопасности; имея доступ к чужому компьютеру, вы и без того имеете возможность делать с его данными все, что захотите, а также отправить самому себе копию файлов настроек Chrome. (Защита данных от вторых доверенных пользователей компьютера относится к области конфиденциальности, а не безопасности. Безопасность – это защита данных и компьютера от удаленного атакующего, не имеющего физического доступа к компьютеру.)

Нас тревожит лишь то, что пользователю не задается вопрос, из какого именно профиля Chrome (в случае, если их пара) он желает импортировать эти – наличие нескольких профилей Chrome есть хорошим индикатором наличия нескольких пользователей, исходя из этого процесс импорта обязан запрашивать, из какого именно профиля импортировать. Мы передадим эти сведенья группе разработки, дабы они поразмыслили, что направляться предпринять.

Как видим, в целом признавая проблему, они оговариваются: «Имея доступ к чужому компьютеру, вы и без того имеете возможность делать с его данными все, что захотите, а также отправить самому себе копию файлов настроек Chrome». Это правильно, но далеко не все знает, где эти файлы находятся, в то время как установка Opera – штатная функциональность. И ни в каком случае браузер не должен делать собственных пользователей похитителями чужих паролей по умолчанию, в виде штатной функциональности.

Что все это значит? Opera – это не только браузер, но и хороший шпионский инструмент. Приходим к любому человеку, устанавливаем Opera, входим в аккаунт, удаляем Opera – все пароли и логины от Chrome у нас в кармане! Сейчас возможно идти к себе и нормально, неспешно трудиться на сайтах под чужим именем.

Увы, разработчики Opera, наверное, несобираются исправление данной уязвимости, если судить по сообщению. По всей видимости, они желают лишь сделать так, дабы пользователь смог выбрать, из какого именно поэтому аккаунта Chrome импортировать логины. Это сделает Opera чуть менее скоростным шпионским инструментом, но все так же действенным. Вам необходимо не составит большого труда выбрать имена пользователей, пароли которых вы желаете скопировать в собственный аккаунт Opera.

Да, в случае, если применять двухфакторную аутентификацию, обрисованная неприятность абсолютно исключена. Никто не сможет подтвердить доступ SMS-сообщением либо кодом из приложения, не считая вас. В любом случае, если у вас на компьютере установлены Chrome и Opera, будьте особенно внимательны. Кроме этого, вероятнее, Chrome не единственный браузер, из которого производится импорт. Наверняка это в равной степени касается и MSIE, и Firefox. И будьте трижды осмотрительны, в случае, если в Opera на вашем компьютере трудятся посторонние люди.

Антон Чивчалов

Как восстановить очищенную историю браузеров Chrome, Mozilla FireFox, Opera, Edge, Explorer 🌐⏳💻


Интересные записи: