Менеджер паролів браузера у з’єднанні HTML містить серйозну вразливість. Проблема не вирішується роками.
Два роки тому розробник Еліотт Кембер вказав на помилку, яка дозволяла будь-кому знаходити (зберігати) паролі веб-сайтів на комп'ютері. Потім розробник придумав інформацію, що завдяки браузеру Chrome можна отримати паролі без т.зв. майстер-паролі також з інших браузерів. Тоді Google заявив, що це нормально. Незабаром після цього умова відображення паролів, що вимагають головного пароля, також була додана до Google Chrome. Зазвичай це пароль, який ми використовуємо для входу. Однак це не дуже справедливо.
Функція менеджера паролів існує у браузерах вже давно, але шокує те, що ніхто не повідомив користувачів, що просто змінивши рядок на сторінці, ми розкриємо пароль! Нам не потрібен будь-який головний пароль, це буквально "маскарад" у браузерах. Це правда, що вразливість зачіпає не всі веб-сайти, але це, наприклад, Facebook, Інтернет-форуми чи деякі веб-ігри. Наприклад, я спробував веб-сайт Rockstar Social або деякі словацькі поштові скриньки, такі як Azet або Pobox, пароль можна отримати для кожної з них. Цікаво, що це також впливає на Gmail, але пароль потрібно зберігати не один раз. Можливо, тому, що Google використовує інший тип входу. Сайти, які використовують власну систему входу або спливаючі вікна, не зазнають змін. Функція автозаповнення не працює на цих сайтах. Можливо, тому, що я не міг використати вразливість під час багаторазової спроби. Тим не менше, переважна більшість сайтів (включаючи Інтернет-банкінг) будуть зачеплені.
Я створив тестовий електронний лист для зразка.
Це такий рядок:
Що просто змінюється:
Звичайно, струна також може мати дещо іншу форму. Тому необхідно мати можливість правильно ідентифікувати вразливий ланцюг. З іншого боку, навіть трохи просунутий користувач може з цим впоратися. Це пов’язано з тим, що значення «пароль» знаходить лише кілька разів (приблизно 3-9) на одній веб-сторінці, і для правильної ідентифікації потрібно кілька секунд.
Цікаво, що AutoFill працює трохи гірше в Opera (порівняно з Google). Ви можете використовувати цю вразливість для вилучення меншої кількості паролів з Opera. Ще один цікавий факт - MS Edge не страждає від цієї вразливості. Якщо я редагував рядок у Edge, браузер "спорожняв вікно". Однак введений пароль було видно (він не піддавався цензурі). Автозаповнення, але не викинуло сам пароль. Не було можливості експортувати пароль з менеджера паролів у Edge (ні Opera, ні Chrome не можуть експортувати з Edge).
Слід додати, що цю вразливість можна використовувати лише в тому випадку, якщо зловмисник має прямий доступ до комп'ютера або віддалений доступ. Потрібно бути обережним, кому ви позичаєте комп’ютер. Іншим (найкращим і, мабуть, єдиним функціональним) рішенням є не збереження паролів! Chrome дозволяє вимкнути автоматичне заповнення паролів, але це налаштування можна легко ввімкнути без головного пароля. В Opera це рішення не працює. Два роки тому на подібну проблему вказували у браузері Safari, що все ще дозволяло автоматично заповнювати контактну інформацію або кредитні картки.
Нарешті, я спробував Mozzila в останній версії, і, як і Edge, тут неможливо використати вразливість. Знову ж, виявляється лише вказаний рядок. За замовчуванням Mozzila відображає паролі в менеджері без головного пароля, що також є абсурдом. Ніщо не заважає зловмисникові експортувати паролі до іншого браузера.
На закінчення я хотів би ще раз нагадати вам, що єдиним захистом є не збереження паролів або недопущення нікого невідомого до ПК. Ризикувати просто не варто. Неймовірно, що така помилка все ще зустрічається у браузерах у 2015 році.