登入一次,密码看光光!Chrome,你是在开我玩笑吗?

收藏:228

登入一次,密码看光光!Chrome,你是在开我玩笑吗?

警告:以下内容请不要太早分享给你的同事、爸妈、前男友或前女友。

英国知名部落客 Elliot Kember 先前在网誌上表示,他在换浏览器的时候,发现了 Chrome 浏览器一个疑似安全漏洞的设定。这个设定对许多健忘的人来说是一种方便,但是可能也给了有心人士不少方便。不过,虽然这篇的主角是 Chrome,但经过我的实际测试,Firefox 浏览器也有几乎一样的漏洞,Firefox 使用者也可以参考参考,将就将就。

强制汇入密码纪录?

在进入最惊人的部分之前,先来看看 Elliot 遭遇到的奇事。由于他本是 Safari 的爱用者,因为某些原因得改用 Chrome,但当他在设定汇入书籤与其他功能时,却发现:

登入一次,密码看光光!Chrome,你是在开我玩笑吗?

Chrome 竟然强制汇入密码!而且都这幺强制了,还留一个不能取消的选项框框是哪招?

忘记你的密码了?给你看看你的密码纪录。骇客也忘记你的密码了?那也给他看看你的密码纪录

接下来,就是最吓人的地方了,Chrome 会自动记录你的密码,一字不差的「SHOW」出来。当然,一定早有许多 Chrome 爱用者知道这个功能了,但是,在《TO》编辑群们发现可以拿来做哪些可怕的事情之后,我还是觉得毛骨悚然。

不过,这个功能的前提是得  登入 Google Chrome --以「Google 帐户」登入 Google Chrome,即可在网路上储存个人化的浏览器功能,而且使用别台电脑也能套用您的 Google Chrome 设定,使用自己的书籤、应用程式、记录、密码及其他设定。

每当我们用自己的电脑进入需要登入的网站,都会习惯性地让浏览器「记住密码」。至于我们为什幺愿意让浏览器记住密码?因为我们相信,那些化为圆点点的密码,除了自己与浏览器以外,不会有任何人知道或看得到真实的面目。但是 Elliot 在设定密码记忆功能的时候,却发现了 Chrome 的「开放」:

Chrome 使用者们,要是你们前往「设定」、「密码和表单」点选「管理储存的密码」(或直接在网址贴上 chrome://settings/passwords ),你会看到类似以下的画面。

登入一次,密码看光光!Chrome,你是在开我玩笑吗?

那个「显示」是要干嘛的呢?ㄏㄏ,该不会是我想的那样吧?ㄏㄏ。不用害怕,奋力地给他按下去!

登入一次,密码看光光!Chrome,你是在开我玩笑吗?

没错,你的密码就这样赤裸裸地显示出来了,比裸婚还裸。不只你本人的,你的旧情人、兄弟姊妹、爸妈或同事等等,只要曾经用过你「记住密码」的电脑,或用过你的 Chrome 登入过任何网站的可怜虫,他们的密码都会被你看光光。

但同样的,他们也可以在借用你电脑的时候,进去「设定」里看所有你曾经选择「记住密码」的密码,你的密码就如同储存在桌面上一样,跟大家说:「欢迎来盗我帐号密码。」

还不懂这有多严重吗?让我告诉你个例子。

有位不愿具名的消息来源透漏,他的朋友在某间知名媒体实习时,在一台电脑的 Chrome 登入了自己的帐号。在实习结束后,他发现同事的各种帐号密码不断地出现在他的 Chrome 里,删掉了还会再跑出来,因为他在那台电脑的 Chrome 浏览器帐号,始终没被登出。也就是说,只要有人一用那台电脑的 Chrome 储存密码,立刻同步到他的 Chrome 里。

要不是消息来源和朋友都是正直人士,否则他们大可以进去该媒体后台,享有编辑权限;也可以登入那些人的 Facebook,把还没回覆的交友邀请通通按「确认」;抑或是利用那些人的粉丝页管理权限,在粉丝专页里胡乱 PO 文。当然,这些都是犯法行为。

Chrome 是故意的,而且搞技术的都觉得没什幺

说实在的,我刚提到的那些可能也不算什幺,我也常常乱拿朋友的 FB 发出柜动态嘛。但是,要是让厉害的工程师或骇客来,说不定可以搞出一些植入木马程式、窃取高层个资之类的大绝,不是吗?

Elliot 也提到,每当他跟搞技术的朋友提几这件事,他们回答的不外乎是:

他们的回答也有道理,我想他们的意思是:对骇客来说,根本不需要看你的设定就可以知道你的密码了。

Elliot 的回答也很绝:

Elliot 在网站 Hacker News 发表了对这件事的看法,获得了 Chrome 安全部门的头头 Justin Schuh 的回应,部分翻译如下:

好吧,我懂他的意思,可是 Chrome,这幺说吧,即使每个职业小偷都有万用钥匙,我家还是会锁门啊!现在的问题是,你明明是我家的保全,却让经过我家的路人都有机可乘?实在没道理。

解决办法

你可以选择继续信任你的浏览器,也可以对自己的隐私与安全採取行动。其实很简单,那就是去设定里取消自动填入密码,并且不要做出把密码记录在手机里、放在桌面上之类的蠢行为。除此之外,最根本的解决办法,就是 不要登入 Google Chrome,将你储存在帐号里的密码全部取消之后,登出 Chrome,这样以后即使储存了密码,也不会再别台电脑上出现了。

好啦,如果你就是那幺爱登入,请谨守最后一道防线:不要在别人的电脑登入,好吗?至于其他爱用你电脑,又爱按「储存密码」的人,那你就天天登入他的 Facebook 帮他发出柜文好了。

登入一次,密码看光光!Chrome,你是在开我玩笑吗?

我在第一段有提到 Firefox 是吧?Firefox 也有差不多的记忆密码功能,差别在于不用登入就可以看到,但是也只会记录在你的电脑里。即使如此,你要将电脑借别人用的时候,还是得先把密码纪录表单删除掉。相对于 Chrome 只需登出就不会显示,登入后又保有密码纪录,比较不方便一点。

关于资安,除了用其他人电脑时多多使用「无痕视窗」,如果你想要採取更全面的行动,可以参考我之前分享的这篇 〈 从骇客、女友与爸妈手中夺回隐私权的大绝十招!〉。

噢对了,要你不要太早分享这篇,除了让你可以先採取防护措施,也给你机会让你先整你朋友:把他们各网站的密码通通换掉,然后将「忘记密码提示」全部改成:

登入一次,密码看光光!Chrome,你是在开我玩笑吗?

啊哈哈哈~ 你 Chrome Chrome 你!

(