A HTML-kapcsolat böngészőjelszó-kezelője súlyos sérülékenységet tartalmaz. A problémát évek óta nem oldják meg.
Két évvel ezelőtt a fejlesztő, Eliott Kember rámutatott egy hibára, amely lehetővé tette bárki számára, hogy számítógépen megtudja (tárolja) a webhelyekhez tartozó jelszavakat. A fejlesztő ezután azzal az információval állt elő, hogy a Chrome böngészőnek köszönhetően jelszavakat is lehet kapni az ún mester jelszavakat más böngészőkből is. Akkor a Google azt mondta, hogy rendben van. Röviddel ezután a fő jelszót igénylő jelszavak megjelenítésének feltétele is felkerült a Google Chrome-ba. Általában ez az a jelszó, amelyet a bejelentkezéshez használunk. Ez azonban nem túl érvényes.
A jelszókezelő funkció már régóta megtalálható a böngészőkben, de megdöbbentő, hogy senki sem tájékoztatta a felhasználókat arról, hogy az oldalon található karakterlánc egyszerű megváltoztatásával felfedjük a jelszót! Nincs szükségünk mester jelszóra, ez szó szerint "maszlag" a böngészőkben. Igaz, hogy a biztonsági rés nem érinti az összes webhelyet, de például a Facebook, az internetes fórumok vagy néhány internetes játék. Például kipróbáltam a Rockstar Social weboldalt, vagy néhány szlovák postaládát, például az Azet vagy a Pobox, mindegyikhez meg lehet szerezni a jelszót. Érdekes módon a Gmailt is érinti, de a jelszót többször is el kell menteni. Valószínűleg azért, mert a Google más típusú bejelentkezést használ. A saját bejelentkezési rendszerüket vagy előugró ablakokat használó webhelyeket ez nem érinti. Az automatikus kitöltés funkció nem működik ezeken a webhelyeken. Valószínűleg azért, mert nem tudtam többször is felhasználni a biztonsági rést. Mindazonáltal a webhelyek túlnyomó többségét (beleértve az internetes bankot is) ez érinti.
Létrehoztam egy teszt e-mailt.
Ez a következő karakterlánc:
Ami csak erre változik:
Természetesen a húr alakja is lehet kissé más. Ezért képesnek kell lennie a sérülékeny lánc helyes azonosítására. Másrészt még egy kissé haladó felhasználó is képes kezelni. Ez azért van, mert a "jelszó" érték csak néhányszor (kb. 3-9) található meg egy weboldalon, és a helyes azonosítás néhány másodpercet vesz igénybe.
Érdekes módon az AutoFill valamivel kevésbé működik jól az Operában (a Google-hez képest). Ezzel a biztonsági réssel kevesebb jelszót nyerhet ki az Operából. Egy másik érdekes tény, hogy az MS Edge nem szenved ebben a biztonsági résben. Ha egy sztringet szerkesztettem az Edge-ben, a böngésző "kiürítette az ablakot". A beírt jelszó azonban látható volt (nem volt cenzúrázva). Automatikus kitöltés, de nem maga dobta el a jelszót. A jelszót nem lehetett exportálni az Edge jelszókezelőjéből (sem az Opera, sem a Chrome nem exportálhatja az Edge-ből).
Hozzá kell tenni, hogy ezt a biztonsági rést csak akkor lehet kihasználni, ha a támadónak közvetlen hozzáférése van a számítógéphez vagy távoli hozzáféréssel rendelkezik. Vigyázni kell arra, hogy kinek adja kölcsön a számítógépét. Egy másik (a legjobb és valószínűleg az egyetlen funkcionális) megoldás nem a jelszavak mentése! A Chrome lehetővé teszi a jelszavak automatikus kitöltésének kikapcsolását, de ez a beállítás egyszerűen bekapcsolható fő jelszó nélkül. Az Operában ez a megoldás nem működik. Két évvel ezelőtt egy hasonló problémára hívták fel a figyelmet a Safari böngészőben, amely még mindig lehetővé tette az elérhetőségek vagy hitelkártyák automatikus kitöltését.
Végül kipróbáltam a Mozzilát a legújabb verzióban, és az Edge-hez hasonlóan itt sem lehet kihasználni a biztonsági rést. Ismét csak a megadott karakterlánc jelenik meg. Alapértelmezés szerint Mozzila mesterjelszó nélkül jeleníti meg a jelszavakat a kezelőben, ami szintén abszurd. Semmi sem akadályozza a támadókat abban, hogy jelszavakat exportáljanak egy másik böngészőbe.
Összegzésként szeretném még egyszer emlékeztetni Önöket arra, hogy az egyetlen védelem nem a jelszavak mentése, vagy a PC számára ismeretlenek engedélyezése. A kockázat egyszerűen nem éri meg. Hihetetlen, hogy 2015-ben még mindig megtalálható egy ilyen hiba a böngészőkben.