Многие пользователи уделяют внимание безопасности своих устройств и, в частности, безопасности интернет браузеров. В ход идёт множество средств, но всё может быть напрасно, если программа с вредоносным кодом будет запущена в системе из-под учётной записи пользователя. Злоумышленнику не нужен физический доступ и даже повышенные права, он может украсть базы данных браузера и извлечь информацию оттуда, некоторые браузеры шифруют базы, но, если вредоносный код выполняется из-под учётной записи пользователя, ключ шифрования тоже можно заполучить. Как оказалось, существует ещё один способ, и он может быть даже проще.
Исследователь безопасности компании CyberArk Зеев Бен Порат (англ. Zeev Ben Porat) обнаружил, что браузеры хранят в памяти конфиденциальные данные в открытом виде, сообщает ресурс gHacks и автор блога Borncity. Пароли и сеансовые файлы cookie находятся в памяти в виде обычного текста. Первоначально это открытие было сделано в браузере Chrome, но похоже, что затронуты все браузеры на основе Chromium, а также Mozilla Firefox. Извлечь данные может любой процесс с доступом к памяти Chrome через API OpenProcess и ReadProcessMemory, повышенные права не нужны. Кроме паролей и cookie-файлов текущих сеансов, в память можно загрузить все пароли из диспетчера паролей.
Исследователь уведомил об этом разработчиков Google, однако исправлять ситуацию не будут, поскольку физические локальные атаки рассматриваются вне модели угроз Chrome, защититься невозможно, если злоумышленник хозяйничает в системе от имени пользователя.
Авторы ресурсов проверили эту информацию и действительно смогли получить доступ к своим паролям с помощью утилиты ProcessHacker, с cookie файлами ситуация сложнее, похоже над их дополнительной защитой всё таки работают, ведь при краже cookie файла не защитит даже многофакторная аутентификация. Остаётся очень серьёзно относиться к тому, что вы скачиваете и устанавливаете на свой компьютер. Стоит ознакомиться со статьей специалиста в блоге CyberArk, для продвинутых пользователей там описаны методы защиты.