Сохранённые пароли в Firefox можно копировать в обход мастер-пароля. Эксплуатировать уязвимость возможно только при наличии локального доступа.
Утащить кота в мешке
Менеджер паролей браузера Firefox позволял обходить собственную основную защиту — мастер-пароль.
Мастер-пароль требуется ввести прежде чем пользователь может получить доступ к своим сохранённым логинам и паролям. Логины в списке будут видны сразу, а пароли – только после ввода мастер-пароля. Однако, как выяснилось, из-за программного недочёта пользователь мог кликнуть по соответствующему логину правой кнопкой мыши и выбрать опцию «Скопировать пароль», после чего пароль копировался без ввода мастер-пароля.
В версии Firefox 68.0.2 это исправлено, теперь скопировать пароль просто так не получится.
Менеджер паролей Firefox – опциональный инструмент, однако по умолчанию он в браузере активирован. При этом мастер-пароль не установлен, так что все сохранённые пароли будут видны сразу, без дополнительных условий, что делает его практически бесполезным.
Посторонним в...
Менеджеры паролей тем или иным образом сегодня реализованы во всех браузерах. Google Chrome под Windows 10 по умолчанию требует пароль к текущей учётной записи пользователя; что касается Edge, то он глубоко интегрирован в операционную систему, так что сохранённые в нём пароли доступны там же, где и остальная информация об учётной записи текущего пользователя.
По умолчанию пароли скрыты, и для того, чтобы просмотреть их, также потребуется вводить пароль к учётной записи. Менеджер паролей Firefox отличается именно возможностью собственного мастер-пароля.
«Менеджер паролей – наиболее рекомендуемый метод хранения паролей для доступа к сетевым ресурсам: они хранятся в зашифрованном виде, так что прочитать их можно только зная мастер-пароль, – говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. – Описываемый сценарий реализуем только тогда, когда у злоумышленника уже есть локальный доступ к чужой машине, а учитывая, что в большинстве случаев в браузерах включена функция автозаполнения, устранённая ошибка в Firefox мало на что влияла. Куда более важно – не допускать посторонних к своей учётной записи».
