假如一个人有机会接近一个用户的设备并且通过了操作系统的账户密码,这个人就可以通过查看Chrome浏览器的设置直接看到存储在计算机的电子邮件、社交媒体和其它网站的全部密码。软件开发者艾略特·肯博(Elliott Kember)在导入他的苹果Safari浏览器的书签的时候发现了这个安全漏洞。
肯博发现,Chrome浏览器的设置窗口有一个存储的密码部分,显示网站名称、用户名称和用户存储的访问一些网站的密码。这些密码最初的隐藏的,简单地选择这个网站的行,用户就可以看到显示一个网站密码的按钮。Chrome不需要输入额外的密码就可以查看那些网站密码。
火狐浏览器也以同样的方式运行,给用户的一个对话框,询问“你确定要显示你的密码吗?”,没有要求进一步的身份验证。
苹果的Safari浏览器弹出一个对话框,要求用户输入目前登录那台计算机的密码。不输入密码,Safari浏览器将不显示其它内容。
肯博说,这个问题是Chrome浏览器密码存储中的一个漏洞,因此是这个浏览器的一个安全漏洞。
谷歌Chrome团队对此问题作出回应称,我们多次争论这个问题。但是,我们得出的结论是我们不想向用户提供虚假的安全感和鼓励用户做有风险的事情。如果用户允许某人使用他的操作系统用户账号,那么,那个人就可以得到一切信息。
