IT News: Digital Camera, OS, Laptop, Smartphone, Smart TV, Sound...

The Author's Project by Valeri N.Kravchuk
Сайт проверен Dr.Web
Меню сайта
  • Главная страница
  • Информация о сайте
  • Дневник
  • Каталог файлов
  • Обратная связь
  • Каталог сайтов
  • FAQ
  • Доска объявлений
  • Форум
  • Фотоальбом
  • Категории раздела
    Автомобильные гаджеты, ремонт... [143]
    Безопасность IT [404]
    Блоки питания, Power Banks, зарядки... [508]
    Видеорегистраторы [186]
    Гаджеты для спорта и здоровья... [190]
    Гаджеты, аксессуары... [627]
    Измерительная техника, инструменты [437]
    Накопители данных [232]
    Нетбуки, Ноутбуки, Ультрабуки [689]
    Мультиварки, блендеры и не только... [162]
    Планшеты [764]
    Радар-детекторы [26]
    Роботы-пылесосы [37]
    Своими руками [360]
    Сети, сетевые технологии, оборудование... [273]
    Смартфоны [4959]
    Фотокамеры, объективы, искусство фотографии.. [541]
    Умный дом [50]
    Электронные книги [101]
    CB, LPD, PMR- связь... [170]
    DECT, IP-телефоны [18]
    Drones, boats, cars... [108]
    electric cars [35]
    GPS-навигаторы, трекеры... [51]
    Linux и не только [3981]
    mini computers и не только... [409]
    News IT, Это интересно, ликбез... [1120]
    Smart TV, UltraHD, приставки, проекторы... [415]
    Smart Watch [268]
    Sound: наушники, плееры, усилители... [618]
    Windows 10... [301]
    Windows 11 [37]
    Погода

  • Метеорадар БРЕСТ
  • Погода в Бресте от www.yr.no

    Яндекс.Погода БРЕСТ

  • Интересные ссылки

    COMPIZOMANIA

    Наш опрос
    Оцените мой сайт
    Всего ответов: 1347
    Статистика
    Анализ веб сайтов

    Яндекс.Метрика

    Рейтинг@Mail.ru Яндекс цитирования

    Russian America Top. Рейтинг ресурсов Русской Америки.

    eXTReMe Tracker

    Правильный CSS!


    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0
    Locations of visitors to this page
    Форма входа
    Главная » 2017 » Июнь » 16 » Уязвимость в Opera позволяет красть пароли сторонних пользователей Chrome
    13:11
    Уязвимость в Opera позволяет красть пароли сторонних пользователей Chrome

    Уязвимость в Opera позволяет красть пароли сторонних пользователей Chrome

    Недавно мне нужно было поработать за чужим ноутбуком. Я предпочитаю работать в Opera, которой на этом ноутбуке не было. Я установил ее, синхронизировался со своим облачным аккаунтом, поработал и удалил Opera. Придя домой и зайдя в Opera уже на своем домашнем компьютере, я к большому удивлению обнаружил чужие логины и пароли от сайтов в системе автозаполнения. То же самое наблюдалось на моем втором компьютере.

    Другими словами, при заходе на сайт браузер предлагал мне ввести логин и пароль, которые мне не принадлежали. А принадлежали они моему знакомому и членам его семьи, у которых я работал на ноутбуке! Вот, например, как выглядит у меня вход в Gmail. Только antorix@gmail.com – мой логин, все остальные принадлежат не мне:

    Откуда на компьютере, где работаю только я, браузер знает сетевые реквизиты других людей? Несложно понять, что произошло: когда я работал на ноутбуке знакомого, Opera импортировала логины и пароли всех его пользователей, причем импортировала из другого браузера (!), а именно Chrome. Эти реквизиты синхронизировались с моим облачным аккаунтом в Opera и стали доступны мне на любом компьютере. Я протестировал вход через эти пароли и смог успешно зайти в Gmail, ВКонтакте и Slack в аккаунты другого человека.

    Я связался с Opera и сообщил об этой уязвимости. Задав мне пару вопросов, они признали наличие проблемы. Оказывается, Opera действительно импортирует реквизиты пользователей Chrome на этом же компьютере, и это является ее штатным поведением. Однако ответ разработчиков оставляет не меньше вопросов, чем дает ответов:

    This confirms what we suspected; Opera imported all settings from the default browser when it was first run. It then synchronised them when you enabled synchronisation. In such cases, Opera cannot know that you are using it on someone else's computer, so it will not know that the information on that Windows account is not yours.

    Importing by default is something that the Desktop product team have decided to do, since it allows easy migration from other browsers. However, it seems you have bumped into an unwanted side effect. Note though that this behaviour is not considered to have security implications; once you have access to someone else's account on a computer, you can already do what you like with the data on it, including emailing yourself a copy of their Chrome settings files. (Protecting data from other trusted users of a computer relates to privacy, not security. Security is about protecting data and your computer from a remote attacker who does not have physical access to your computer.)

    The part that concerns us is that it does not have a way to ask you which Chrome profiles (when there are multiples) you want to import from - having multiple Chrome profiles is a good hint that there are multiple users, and that the import process needs to ask which profile to import from. We will pass this over to the development team to see what action they want to take.

    Перевод:

    Это подтверждает наши подозрения; Opera импортировала все настройки из браузера по умолчанию при первом запуске. Затем она синхронизировала их, когда вы включили синхронизацию. В таких случаях Opera не может знать, что вы работаете на чужом компьютере, поэтому она не знает, что информация из этого аккаунта Windows принадлежит не вам.

    Импорт по умолчанию – это то, что намеренно решила сделать группа разработчиков настольного продукта, поскольку это обеспечивает легкую миграцию с других браузеров. Однако похоже, что вы столкнулись с нежелательным побочным эффектом. Обратите внимание, что это поведение не рассматривается как угроза безопасности; имея доступ к чужому компьютеру, вы и так можете делать с его данными все, что захотите, в том числе послать самому себе копию файлов настроек Chrome. (Защита данных от других доверенных пользователей компьютера относится к области конфиденциальности, а не безопасности. Безопасность – это защита данных и компьютера от удаленного атакующего, не имеющего физического доступа к компьютеру.)

    Нас беспокоит только то, что пользователю не задается вопрос, из какого профиля Chrome (если их несколько) он хочет импортировать данные – наличие нескольких профилей Chrome является хорошим индикатором наличия нескольких пользователей, поэтому процесс импорта должен запрашивать, из какого профиля импортировать. Мы передадим эту информацию группе разработки, чтобы они подумали, что следует предпринять.

    Как видим, в целом признавая проблему, они оговариваются: «Имея доступ к чужому компьютеру, вы и так можете делать с его данными все, что захотите, в том числе послать самому себе копию файлов настроек Chrome». Это верно, однако далеко не каждый знает, где эти файлы находятся, тогда как установка Opera – штатная функциональность. И ни в каком случае браузер не должен делать своих пользователей похитителями чужих паролей по умолчанию, в виде штатной функциональности.

    Что все это значит? Opera – это не только браузер, но и неплохой шпионский инструмент. Приходим к любому человеку, устанавливаем Opera, входим в аккаунт, удаляем Opera – все логины и пароли от Chrome у нас в кармане! Теперь можно идти домой и спокойно, неспешно работать на сайтах под чужим именем.

    Увы, разработчики Opera, похоже, не планируют исправление этой уязвимости, судя по сообщению. Видимо, они хотят только сделать так, чтобы пользователь смог выбрать, из какого именно аккаунта Chrome импортировать логины. Это сделает Opera чуть менее скоростным шпионским инструментом, но все так же эффективным. Вам нужно будет просто выбрать имена пользователей, пароли которых вы хотите скопировать в свой аккаунт Opera.

    Да, если использовать двухфакторную аутентификацию, описанная проблема полностью исключена. Никто не сможет подтвердить доступ SMS-сообщением или кодом из приложения, кроме вас. В любом случае, если у вас на компьютере установлены Chrome и Opera, будьте особенно внимательны. Также, скорее всего, Chrome не единственный браузер, из которого производится импорт. Почти наверняка это в равной степени касается и Internet Explorer, и Firefox. И будьте трижды осторожны, если в Opera на вашем компьютере работают посторонние люди.

    Антон Чивчалов

     

    https://www.kv.by/post/1051657-uyazvimost-v-opera-pozvolyaet-krast-paroli-storonnih-polzovateley-chrome

    Категория: Безопасность IT | Просмотров: 391 | Добавил: laptop | Рейтинг: 0.0/0
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк - единственный из зверей, который может пойти в бой на более сильного противника.
    Если же он проиграл бой, то до последнего вздоха смотрит в глаза противника. После этого умирает...

    Праздники сегодня

    Поиск
    Календарь
    «  Июнь 2017  »
    ПнВтСрЧтПтСбВс
       1234
    567891011
    12131415161718
    19202122232425
    2627282930
    Архив записей
    Друзья сайта
  • Официальный блог
  • JEEP - the best! Mercedes - the best! Автомобильный портал города Бреста: технические характеристики с фото, авторынок, автоспорт...
    Наша кнопка
    IT новости с моего лаптопа...

    Внимание!
    Администратор сайта laptop.ucoz.ru не несет ответственности за содержание рекламных объявлений. Все используемые на сайте зарегистрированные товарные знаки принадлежат своим законным владельцам! Используемая со сторонних источников информация публикуется с обязательными ссылками на эти источники.
    Copyright Valeri N.Kravchuk © 2007-2024