Уразливість в Opera дозволяє красти паролі сторонніх користувачів Chrome | KV.by
- Уразливість в Opera дозволяє красти паролі сторонніх користувачів Chrome Нещодавно мені потрібно...
- Уразливість в Opera дозволяє красти паролі сторонніх користувачів Chrome
Уразливість в Opera дозволяє красти паролі сторонніх користувачів Chrome
Нещодавно мені потрібно було попрацювати за чужим ноутбуком. Я вважаю за краще працювати в Opera, якою на цьому ноутбуці не було. Я встановив її, синхронізуватися зі своїм хмарним аккаунтом, попрацював і видалив Opera. Прийшовши додому і зайшовши в Opera вже на своєму домашньому комп'ютері, я на превеликий подив виявив чужі логіни і паролі від сайтів в системі автозаповнення. Те ж саме спостерігалося на моєму другому комп'ютері.
Іншими словами, при заході на сайт браузер пропонував мені ввести логін і пароль, які мені не належали. А належали вони моєму знайомому і членам його сім'ї, у яких я працював на ноутбуці! Ось, наприклад, як виглядає у мене вхід в Gmail. Тільки [email protected] - мій логін, все решта належить не мені:
Звідки на комп'ютері, де працюю тільки я, браузер знає реквізити інших людей? Нескладно зрозуміти, що сталося: коли я працював на ноутбуці знайомого, Opera імпортувала логіни і паролі всіх його користувачів, причому імпортувала з іншого браузера (!), А саме Chrome. Ці реквізити синхронізувалися з моїм хмарним аккаунтом в Opera і стали доступні мені на будь-якому комп'ютері. Я протестував вхід через ці паролі і зміг успішно зайти в Gmail, ВКонтакте і Slack в акаунти іншої людини.
Я зв'язався з Opera і повідомив про цю уразливість. Задавши мені пару питань, вони визнали наявність проблеми. Виявляється, Opera дійсно імпортує реквізити користувачів Chrome на цьому ж комп'ютері, і це є її штатним поведінкою. Однак відповідь розробників залишає не менш питань, ніж дає відповідей:
This confirms what we suspected; Opera imported all settings from the default browser when it was first run. It then synchronised them when you enabled synchronisation. In such cases, Opera can not know that you are using it on someone else's computer, so it will not know that the information on that Windows account is not yours.
Importing by default is something that the Desktop product team have decided to do, since it allows easy migration from other browsers. However, it seems you have bumped into an unwanted side effect. Note though that this behaviour is not considered to have security implications; once you have access to someone else's account on a computer, you can already do what you like with the data on it, including emailing yourself a copy of their Chrome settings files. (Protecting data from other trusted users of a computer relates to privacy, not security. Security is about protecting data and your computer from a remote attacker who does not have physical access to your computer.)
The part that concerns us is that it does not have a way to ask you which Chrome profiles (when there are multiples) you want to import from - having multiple Chrome profiles is a good hint that there are multiple users, and that the import process needs to ask which profile to import from. We will pass this over to the development team to see what action they want to take.
Переклад:
Це підтверджує наші підозри; Opera імпортувала всі налаштування з браузера за замовчуванням при першому запуску. Потім вона синхронізувала їх, коли ви включили синхронізацію. У таких випадках Opera не може знати, що ви працюєте на чужому комп'ютері, тому вона не знає, що інформація з цього аккаунта Windows належить не вам.
Імпорт за замовчуванням - це те, що навмисно вирішила зробити група розробників настільного продукту, оскільки це забезпечує легку міграцію з інших браузерів. Однак схоже, що ви зіткнулися з небажаним побічним ефектом. Зверніть увагу, що це поведінка не розглядається як загроза безпеці; маючи доступ до чужого комп'ютера, ви і так можете робити з його даними все, що захочете, в тому числі послати самому собі копію файлів налаштувань Chrome. (Захист даних від інших довірених користувачів комп'ютера відноситься до області конфіденційності, а не безпеки. Безпека - це захист даних і комп'ютера від віддаленого атакуючого, що не має фізичного доступу до комп'ютера.)
Нас турбує тільки те, що користувачеві не задається питання, з якого профілю Chrome (якщо їх декілька) він хоче імпортувати дані - наявність декількох профілів Chrome є хорошим індикатором наявності декількох користувачів, тому процес імпорту повинен запитувати, з якого профілю імпортувати. Ми передамо цю інформацію групі розробки, щоб вони подумали, що слід зробити.
Як бачимо, в цілому визнаючи проблему, вони обумовлюються: «Маючи доступ до чужого комп'ютера, ви і так можете робити з його даними все, що захочете, в тому числі послати самому собі копію файлів налаштувань Chrome». Це вірно, однак далеко не кожен знає, де ці файли знаходяться, тоді як установка Opera - штатна функціональність. І ні в якому разі браузер не повинен робити своїх користувачів викрадачами чужих паролів за замовчуванням, у вигляді штатної функціональності.
Що все це означає? Opera - це не тільки браузер, а й непоганий шпигунський інструмент. Приходимо до будь-якій людині, встановлюємо Opera, входимо в акаунт, видаляємо Opera - все логіни і паролі від Chrome у нас в кишені! Тепер можна йти додому і спокійно, неспішно працювати на сайтах під чужим ім'ям.
На жаль, розробники Opera, схоже, не планують виправлення цієї уразливості, судячи з повідомлення. Мабуть, вони хочуть тільки зробити так, щоб користувач зміг вибрати, з якого саме аккаунта Chrome імпортувати логіни. Це зробить Opera трохи менше швидкісним шпигунським інструментом, але все так само ефективним. Вам потрібно буде просто вибрати імена користувачів, паролі яких ви хочете скопіювати в свій аккаунт Opera.
Так, якщо використовувати двухфакторную аутентифікацію, описана проблема повністю виключена. Ніхто не зможе підтвердити доступ SMS-повідомленням або кодом з програми, крім вас. У будь-якому випадку, якщо у вас на комп'ютері встановлено Chrome і Opera, будьте особливо уважні. Також, швидше за все, Chrome не єдиний браузер, з якого виробляється імпорт. Майже напевно це в рівній мірі стосується і Internet Explorer, і Firefox. І будьте тричі обережні, якщо в Opera на вашому комп'ютері працюють сторонні люди.
Антон Чівчалов
Уразливість в Opera дозволяє красти паролі сторонніх користувачів Chrome
Нещодавно мені потрібно було попрацювати за чужим ноутбуком. Я вважаю за краще працювати в Opera, якою на цьому ноутбуці не було. Я встановив її, синхронізуватися зі своїм хмарним аккаунтом, попрацював і видалив Opera. Прийшовши додому і зайшовши в Opera вже на своєму домашньому комп'ютері, я на превеликий подив виявив чужі логіни і паролі від сайтів в системі автозаповнення. Те ж саме спостерігалося на моєму другому комп'ютері.
Іншими словами, при заході на сайт браузер пропонував мені ввести логін і пароль, які мені не належали. А належали вони моєму знайомому і членам його сім'ї, у яких я працював на ноутбуці! Ось, наприклад, як виглядає у мене вхід в Gmail. Тільки [email protected] - мій логін, все решта належить не мені:
Звідки на комп'ютері, де працюю тільки я, браузер знає реквізити інших людей? Нескладно зрозуміти, що сталося: коли я працював на ноутбуці знайомого, Opera імпортувала логіни і паролі всіх його користувачів, причому імпортувала з іншого браузера (!), А саме Chrome. Ці реквізити синхронізувалися з моїм хмарним аккаунтом в Opera і стали доступні мені на будь-якому комп'ютері. Я протестував вхід через ці паролі і зміг успішно зайти в Gmail, ВКонтакте і Slack в акаунти іншої людини.
Я зв'язався з Opera і повідомив про цю уразливість. Задавши мені пару питань, вони визнали наявність проблеми. Виявляється, Opera дійсно імпортує реквізити користувачів Chrome на цьому ж комп'ютері, і це є її штатним поведінкою. Однак відповідь розробників залишає не менш питань, ніж дає відповідей:
This confirms what we suspected; Opera imported all settings from the default browser when it was first run. It then synchronised them when you enabled synchronisation. In such cases, Opera can not know that you are using it on someone else's computer, so it will not know that the information on that Windows account is not yours.
Importing by default is something that the Desktop product team have decided to do, since it allows easy migration from other browsers. However, it seems you have bumped into an unwanted side effect. Note though that this behaviour is not considered to have security implications; once you have access to someone else's account on a computer, you can already do what you like with the data on it, including emailing yourself a copy of their Chrome settings files. (Protecting data from other trusted users of a computer relates to privacy, not security. Security is about protecting data and your computer from a remote attacker who does not have physical access to your computer.)
The part that concerns us is that it does not have a way to ask you which Chrome profiles (when there are multiples) you want to import from - having multiple Chrome profiles is a good hint that there are multiple users, and that the import process needs to ask which profile to import from. We will pass this over to the development team to see what action they want to take.
Переклад:
Це підтверджує наші підозри; Opera імпортувала всі налаштування з браузера за замовчуванням при першому запуску. Потім вона синхронізувала їх, коли ви включили синхронізацію. У таких випадках Opera не може знати, що ви працюєте на чужому комп'ютері, тому вона не знає, що інформація з цього аккаунта Windows належить не вам.
Імпорт за замовчуванням - це те, що навмисно вирішила зробити група розробників настільного продукту, оскільки це забезпечує легку міграцію з інших браузерів. Однак схоже, що ви зіткнулися з небажаним побічним ефектом. Зверніть увагу, що це поведінка не розглядається як загроза безпеці; маючи доступ до чужого комп'ютера, ви і так можете робити з його даними все, що захочете, в тому числі послати самому собі копію файлів налаштувань Chrome. (Захист даних від інших довірених користувачів комп'ютера відноситься до області конфіденційності, а не безпеки. Безпека - це захист даних і комп'ютера від віддаленого атакуючого, що не має фізичного доступу до комп'ютера.)
Нас турбує тільки те, що користувачеві не задається питання, з якого профілю Chrome (якщо їх декілька) він хоче імпортувати дані - наявність декількох профілів Chrome є хорошим індикатором наявності декількох користувачів, тому процес імпорту повинен запитувати, з якого профілю імпортувати. Ми передамо цю інформацію групі розробки, щоб вони подумали, що слід зробити.
Як бачимо, в цілому визнаючи проблему, вони обумовлюються: «Маючи доступ до чужого комп'ютера, ви і так можете робити з його даними все, що захочете, в тому числі послати самому собі копію файлів налаштувань Chrome». Це вірно, однак далеко не кожен знає, де ці файли знаходяться, тоді як установка Opera - штатна функціональність. І ні в якому разі браузер не повинен робити своїх користувачів викрадачами чужих паролів за замовчуванням, у вигляді штатної функціональності.
Що все це означає? Opera - це не тільки браузер, а й непоганий шпигунський інструмент. Приходимо до будь-якій людині, встановлюємо Opera, входимо в акаунт, видаляємо Opera - все логіни і паролі від Chrome у нас в кишені! Тепер можна йти додому і спокійно, неспішно працювати на сайтах під чужим ім'ям.
На жаль, розробники Opera, схоже, не планують виправлення цієї уразливості, судячи з повідомлення. Мабуть, вони хочуть тільки зробити так, щоб користувач зміг вибрати, з якого саме аккаунта Chrome імпортувати логіни. Це зробить Opera трохи менше швидкісним шпигунським інструментом, але все так само ефективним. Вам потрібно буде просто вибрати імена користувачів, паролі яких ви хочете скопіювати в свій аккаунт Opera.
Так, якщо використовувати двухфакторную аутентифікацію, описана проблема повністю виключена. Ніхто не зможе підтвердити доступ SMS-повідомленням або кодом з програми, крім вас. У будь-якому випадку, якщо у вас на комп'ютері встановлено Chrome і Opera, будьте особливо уважні. Також, швидше за все, Chrome не єдиний браузер, з якого виробляється імпорт. Майже напевно це в рівній мірі стосується і Internet Explorer, і Firefox. І будьте тричі обережні, якщо в Opera на вашому комп'ютері працюють сторонні люди.
Антон Чівчалов
Уразливість в Opera дозволяє красти паролі сторонніх користувачів Chrome
Нещодавно мені потрібно було попрацювати за чужим ноутбуком. Я вважаю за краще працювати в Opera, якою на цьому ноутбуці не було. Я встановив її, синхронізуватися зі своїм хмарним аккаунтом, попрацював і видалив Opera. Прийшовши додому і зайшовши в Opera вже на своєму домашньому комп'ютері, я на превеликий подив виявив чужі логіни і паролі від сайтів в системі автозаповнення. Те ж саме спостерігалося на моєму другому комп'ютері.
Іншими словами, при заході на сайт браузер пропонував мені ввести логін і пароль, які мені не належали. А належали вони моєму знайомому і членам його сім'ї, у яких я працював на ноутбуці! Ось, наприклад, як виглядає у мене вхід в Gmail. Тільки [email protected] - мій логін, все решта належить не мені:
Звідки на комп'ютері, де працюю тільки я, браузер знає реквізити інших людей? Нескладно зрозуміти, що сталося: коли я працював на ноутбуці знайомого, Opera імпортувала логіни і паролі всіх його користувачів, причому імпортувала з іншого браузера (!), А саме Chrome. Ці реквізити синхронізувалися з моїм хмарним аккаунтом в Opera і стали доступні мені на будь-якому комп'ютері. Я протестував вхід через ці паролі і зміг успішно зайти в Gmail, ВКонтакте і Slack в акаунти іншої людини.
Я зв'язався з Opera і повідомив про цю уразливість. Задавши мені пару питань, вони визнали наявність проблеми. Виявляється, Opera дійсно імпортує реквізити користувачів Chrome на цьому ж комп'ютері, і це є її штатним поведінкою. Однак відповідь розробників залишає не менш питань, ніж дає відповідей:
This confirms what we suspected; Opera imported all settings from the default browser when it was first run. It then synchronised them when you enabled synchronisation. In such cases, Opera can not know that you are using it on someone else's computer, so it will not know that the information on that Windows account is not yours.
Importing by default is something that the Desktop product team have decided to do, since it allows easy migration from other browsers. However, it seems you have bumped into an unwanted side effect. Note though that this behaviour is not considered to have security implications; once you have access to someone else's account on a computer, you can already do what you like with the data on it, including emailing yourself a copy of their Chrome settings files. (Protecting data from other trusted users of a computer relates to privacy, not security. Security is about protecting data and your computer from a remote attacker who does not have physical access to your computer.)
The part that concerns us is that it does not have a way to ask you which Chrome profiles (when there are multiples) you want to import from - having multiple Chrome profiles is a good hint that there are multiple users, and that the import process needs to ask which profile to import from. We will pass this over to the development team to see what action they want to take.
Переклад:
Це підтверджує наші підозри; Opera імпортувала всі налаштування з браузера за замовчуванням при першому запуску. Потім вона синхронізувала їх, коли ви включили синхронізацію. У таких випадках Opera не може знати, що ви працюєте на чужому комп'ютері, тому вона не знає, що інформація з цього аккаунта Windows належить не вам.
Імпорт за замовчуванням - це те, що навмисно вирішила зробити група розробників настільного продукту, оскільки це забезпечує легку міграцію з інших браузерів. Однак схоже, що ви зіткнулися з небажаним побічним ефектом. Зверніть увагу, що це поведінка не розглядається як загроза безпеці; маючи доступ до чужого комп'ютера, ви і так можете робити з його даними все, що захочете, в тому числі послати самому собі копію файлів налаштувань Chrome. (Захист даних від інших довірених користувачів комп'ютера відноситься до області конфіденційності, а не безпеки. Безпека - це захист даних і комп'ютера від віддаленого атакуючого, що не має фізичного доступу до комп'ютера.)
Нас турбує тільки те, що користувачеві не задається питання, з якого профілю Chrome (якщо їх декілька) він хоче імпортувати дані - наявність декількох профілів Chrome є хорошим індикатором наявності декількох користувачів, тому процес імпорту повинен запитувати, з якого профілю імпортувати. Ми передамо цю інформацію групі розробки, щоб вони подумали, що слід зробити.
Як бачимо, в цілому визнаючи проблему, вони обумовлюються: «Маючи доступ до чужого комп'ютера, ви і так можете робити з його даними все, що захочете, в тому числі послати самому собі копію файлів налаштувань Chrome». Це вірно, однак далеко не кожен знає, де ці файли знаходяться, тоді як установка Opera - штатна функціональність. І ні в якому разі браузер не повинен робити своїх користувачів викрадачами чужих паролів за замовчуванням, у вигляді штатної функціональності.
Що все це означає? Opera - це не тільки браузер, а й непоганий шпигунський інструмент. Приходимо до будь-якій людині, встановлюємо Opera, входимо в акаунт, видаляємо Opera - все логіни і паролі від Chrome у нас в кишені! Тепер можна йти додому і спокійно, неспішно працювати на сайтах під чужим ім'ям.
На жаль, розробники Opera, схоже, не планують виправлення цієї уразливості, судячи з повідомлення. Мабуть, вони хочуть тільки зробити так, щоб користувач зміг вибрати, з якого саме аккаунта Chrome імпортувати логіни. Це зробить Opera трохи менше швидкісним шпигунським інструментом, але все так само ефективним. Вам потрібно буде просто вибрати імена користувачів, паролі яких ви хочете скопіювати в свій аккаунт Opera.
Так, якщо використовувати двухфакторную аутентифікацію, описана проблема повністю виключена. Ніхто не зможе підтвердити доступ SMS-повідомленням або кодом з програми, крім вас. У будь-якому випадку, якщо у вас на комп'ютері встановлено Chrome і Opera, будьте особливо уважні. Також, швидше за все, Chrome не єдиний браузер, з якого виробляється імпорт. Майже напевно це в рівній мірі стосується і Internet Explorer, і Firefox. І будьте тричі обережні, якщо в Opera на вашому комп'ютері працюють сторонні люди.
Антон Чівчалов
Що все це означає?Що все це означає?
Що все це означає?