Puedes robar datos de Chrome (si tienes acceso local)

Cada vez que alguien informa de una vulnerabilidad que requiere el acceso local a un sistema, surge una discusión acerca de si esa es realmente una vulnerabilidad que necesita ser reparada.

Un lado argumenta que sí, considerando que hay numerosas formas en que alguien podría obtener acceso local a un dispositivo. El otro lado argumenta que no lo es, ya que un atacante puede hacer cualquier cosa en la máquina de todos modos con acceso local (a nivel de usuario).

Recientemente, Lior Margalit on Medium reveló un problema en Chrome que permite a cualquiera que tenga acceso local a un sistema que funcione con Chrome robar los datos guardados de la cuenta de usuario.

Un prerrequisito para ello es que el usuario real necesite iniciar sesión en una cuenta de Google. Si ese es el caso, un atacante puede utilizar el método para robar cualquier dato de sincronización de la cuenta, incluidas las contraseñas, los datos de los campos de formulario, los marcadores o el historial de navegación.

Lo problemático de esto es que no requiere ningún tipo de autorización. Básicamente, lo que el atacante necesita hacer es cerrar la sesión del usuario real, e iniciar sesión usando una cuenta de Chrome diferente. Chrome muestra un mensaje para agregar los marcadores, el historial, las contraseñas y otras configuraciones del usuario a la nueva cuenta.

Como los datos están sincronizados con la nueva cuenta, ahora es posible acceder a todos los datos almacenados, por ejemplo, las contraseñas en chrome://settings/?search=contraseña en cualquier dispositivo que inicie sesión con esa nueva cuenta. El proceso en sí mismo tarda menos de un minuto en completarse

Lior reportó el problema a Google y recibió una respuesta de “no arreglará” por parte de la compañía según el artículo.

El proceso en su totalidad:

1. Ir a chrome://configuración/perfil de gestión.
2. Haz clic en “editar persona”.
3. Seleccione “cerrar sesión”.
4. Haga clic en “iniciar sesión”.
5. Ingresa usando una cuenta de Google diferente.
6. Selecciona “este era yo” cuando se te pregunte por el anterior usuario de Google que usó Chrome en la máquina.
7. Los datos se sincronizan con la cuenta seleccionada.
8. Ve a chrome://settings/?search=contraseña para buscar contraseñas en cualquier máquina que funcione con Chrome, siempre que hayas iniciado sesión con la nueva cuenta.

Todo el proceso no tomará más de un minuto para completarse.

Palabras finales

La mejor protección contra el problema es no salir nunca de su dispositivo sin apagarlo o bloquearlo. Otra opción que tienes es no iniciar sesión con una cuenta de Google. Sin embargo, esto reduce la funcionalidad y es posible que algunos usuarios no quieran hacerlo.

Hay otros medios para robar datos de un dispositivo si se dispone de acceso local. Nada impide que un usuario abra la lista de contraseñas en Chrome directamente, por ejemplo

Creo que Google debería añadir una caja fuerte al proceso, por ejemplo pidiendo al usuario que introduzca la contraseña de la otra cuenta para proceder a la fusión de los datos.

Ahora tú : ¿Qué opinas de esto?

Publicaciones relacionadas:

Libera la memoria de Firefox y Chrome con Auto Tab Discard. Volume Master para Chrome: controlar y aumentar el volumen de audio por pestaña Arreglar el parpadeo de la pantalla de Google Chrome en Windows 10 Chrome para saltar las tareas de baja prioridad hasta el apagado para reducir el uso de la memoria La extensión en línea de Chrome instaló la prohibición de la instalación que ya había sido evitada… Integrar la navegación de Chrome y Firefox con la línea de tiempo de Windows Primer vistazo a la actualización del diseño de la interfaz de usuario de Google Chrome El bloqueo de anuncios nativo de Google Chrome Google saca la extensión Chrome Web Developer por encima de la inyección de anuncios CDN local para Chrome Flico para Chrome identifica los puntos de referencia en los vídeos de YouTube Este ordenador pronto dejará de recibir las actualizaciones de Google Chrome