JUE, 8 / AGO / 2013

Descubren fallo grave en el manejo de contraseñas en Chrome

La falla permite acceder a todas las contraseñas guardadas en el navegador Está relacionado con el modo en que el programa guarda las contraseñas que empleamos en los sitios web. La no existencia de una clave maestra permite que cualquiera con acceso a la computadora pueda verlas.

Chrome, el navegador de Google, ofrece la posibilidad de guardar las claves que utilizamos en los distintos sitios web. Sin embargo, a diferencia de lo que ocurre con otros browsers no tiene la alternativa de protegerlas con una clave maestra. Las claves pueden accederse fácilmente desde el navegador, sin ningún tipo de medida de seguridad previa. El robo o el acceso casual a la computadora podría darle a un extraño el acceso a esos datos. Las claves quedan expuestas aún cuando no se empleen en Chrome, si se exportan los marcadores de otro navegador a Chrome, y para mantener ambos programas en sincronía, las claves son copiadas. Elliot Kember es el desarrollador que dio a conocer este problema. Lo descubrió cuando pasaba sus marcadores de Safari a Chrome. En particular, Kember señaló que el navegador aparenta dar la opción, pero en realidad la importación de las claves se produce de todos modos.

Justin Schuh, encargado de la sección seguridad de Chrome señaló que aún cuando el navegador tuviera una clave maestra eso no evitaría que un hacker con acceso físico a la computadora instalara un malware para obtener las contraseñas. “No es nuestra intención darle a los usuarios una falsa sensación de seguridad y de esta forma alentar comportamientos de riesgo”, explicó Schuh. Además, afirmó que cuando se le da a alguien acceso a la cuenta de usuario del sistema operativo se le da un acceso total.

Kember indicó que los usuarios de Chrome no saben que el programa funciona de esta manera. Nadie espera que sea tan fácil ver sus claves. Este problema es más grave para los usuarios de Mac OS X, porque al momento de introducir una nueva clave el sistema advierte que Chrome quiere usar información confidencial del usuario en la keychain (El sistema de manejo de claves de Mac OS). Este mensaje sugiere que las claves estarían seguras bajo este sistema de control, sin embargo no es así. El experto en seguridad Graham Cluley señaló al respecto, que era extraño que Google no pusiera un nivel extra de seguridad cuando todos los otros navegadores lo tienen. Mozilla agregó una contraseña maestra para Firefox en 2010, Safari tiene la misma exigencia. Algunas versiones de Internet Explorer están bien protegidas, otras tienen un defecto similar al de Chrome.

Observar esta falla es bastante sencillo. Solo es necesario pulsar el botón de opciones (ubicado en la esquina superior derecha de Chrome), apretar el botón Configuración y hacer clic en el vínculo Más opciones avanzadas. Luego hay que pinchar el link Administrar contraseñas guardadas, hacer clic en algún ítem de la lista y pulsar Show para ver la clave guardada.

Fuentes: IBTimes, Geeksaresexy, CBSNews

¡Comparte esta noticia!