В популярном браузере Chrome обнаружена критическая уязвимость, используя которую, пользователь может получить доступ к сторонним паролям.
Пароли можно просмотреть непосредственно на панели настроек браузера, даже не применяя введения мастер-пароля.
Для того чтобы увидеть сохраненные пароли следует перейти в настройки, затем нажать на «Показать дополнительные настройки», а затем в разделе «Пароли и формы» выбрать «Управление сохраненными паролями».
Откроется диалоговое окно, в котором будет список сохраненных паролей. Сначала все они скрыты, но следует нажать на один из паролей, и появляется кнопка «Показать», нажав на которую, вместо точек можно увидеть текстовый вид пароля, который можно скопировать и использовать в своих целях.
О существовании такой возможности было известно руководителю команды разработчиков Chrome Джастинe Шуху (Justin Schuh), однако ее устранять не планировалось. Такой факт возмутил изобретателя Всемирной паутины Тима Бернерс-Ли (Tim Berners-Lee).
Уязвимость обнаружил Эллиотт Кембер (Elliott Kember), который заявил, что разрекламированный компанией Google браузер имеет чистую аудиторию в виде не разработчиков, а рядовых пользователей. И подавляющее их большинство не знают досконально принцип работы. Они не могут догадываться, что сохраненные пароли так легко просмотреть. Поэтому так не должно быть, ведь каждый день миллионы пользователей хранят пароли в Chrome, добавил Кембер.
Следует отметить, что браузер Chrome входит в тройку лидеров браузеров, в которой также находятся Mozilla Firefox и Internet Explorer от Microsoft. У них также были найдены подобные уязвимости, но после того разработчики сразу же выпустили обновление, которое это исправляло.
Шух в блоге Hacker News написал о том, что компанию неоднократно спрашивали, почему просто не внедряют мастер-пароль для защиты, и команда разработчиков неоднократно обсуждала данный вопрос, каждый раз приходя к выводу, что она не хочет поощрять рискованное поведение и предоставлять пользователям ощущение ложной безопасности. Компания четко заявляет, что когда пользователь предоставляет кому-то доступ к своей учетной записи в операционной системе, то это лицо может получить доступ ко всему.
Несмотря на такую позицию со стороны Google, многие эксперты возмущены такой ситуацией. Поскольку, если возможен такой просмотр паролей, то и возможно их расшифровка. Соответственно, можно разработать троян, тайно похищающий пароли.