Недавно мне нужно было поработать за чужим ноутбуком. Я предпочитаю работать в Opera, которой на этом ноутбуке не было. Я установил ее, синхронизировался со своим облачным аккаунтом, поработал и удалил Opera. Придя домой и зайдя в Opera уже на своем домашнем компьютере, я к большому удивлению обнаружил чужие логины и пароли от сайтов в системе автозаполнения. То же самое наблюдалось на моем втором компьютере.

Другими словами, при заходе на сайт браузер предлагал мне ввести логин и пароль, которые мне не принадлежали. А принадлежали они моему знакомому и членам его семьи, у которых я работал на ноутбуке! Вот, например, как выглядит у меня вход в Gmail. Только antorix@gmail.com – мой логин, все остальные принадлежат не мне:

Откуда на компьютере, где работаю только я, браузер знает сетевые реквизиты других людей? Несложно понять, что произошло: когда я работал на ноутбуке знакомого, Opera импортировала логины и пароли всех его пользователей, причем импортировала из другого браузера (!), а именно Chrome. Эти реквизиты синхронизировались с моим облачным аккаунтом в Opera и стали доступны мне на любом компьютере. Я протестировал вход через эти пароли и смог успешно зайти в Gmail, ВКонтакте и Slack в аккаунты другого человека.

Я связался с Opera и сообщил об этой уязвимости. Задав мне пару вопросов, они признали наличие проблемы. Оказывается, Opera действительно импортирует реквизиты пользователей Chrome на этом же компьютере, и это является ее штатным поведением. Однако ответ разработчиков оставляет не меньше вопросов, чем дает ответов:

This confirms what we suspected; Opera imported all settings from the default browser when it was first run. It then synchronised them when you enabled synchronisation. In such cases, Opera cannot know that you are using it on someone else's computer, so it will not know that the information on that Windows account is not yours.

Importing by default is something that the Desktop product team have decided to do, since it allows easy migration from other browsers. However, it seems you have bumped into an unwanted side effect. Note though that this behaviour is not considered to have security implications; once you have access to someone else's account on a computer, you can already do what you like with the data on it, including emailing yourself a copy of their Chrome settings files. (Protecting data from other trusted users of a computer relates to privacy, not security. Security is about protecting data and your computer from a remote attacker who does not have physical access to your computer.)

The part that concerns us is that it does not have a way to ask you which Chrome profiles (when there are multiples) you want to import from - having multiple Chrome profiles is a good hint that there are multiple users, and that the import process needs to ask which profile to import from. We will pass this over to the development team to see what action they want to take.

Перевод:

Это подтверждает наши подозрения; Opera импортировала все настройки из браузера по умолчанию при первом запуске. Затем она синхронизировала их, когда вы включили синхронизацию. В таких случаях Opera не может знать, что вы работаете на чужом компьютере, поэтому она не знает, что информация из этого аккаунта Windows принадлежит не вам.

Импорт по умолчанию – это то, что намеренно решила сделать группа разработчиков настольного продукта, поскольку это обеспечивает легкую миграцию с других браузеров. Однако похоже, что вы столкнулись с нежелательным побочным эффектом. Обратите внимание, что это поведение не рассматривается как угроза безопасности; имея доступ к чужому компьютеру, вы и так можете делать с его данными все, что захотите, в том числе послать самому себе копию файлов настроек Chrome. (Защита данных от других доверенных пользователей компьютера относится к области конфиденциальности, а не безопасности. Безопасность – это защита данных и компьютера от удаленного атакующего, не имеющего физического доступа к компьютеру.)

Нас беспокоит только то, что пользователю не задается вопрос, из какого профиля Chrome (если их несколько) он хочет импортировать данные – наличие нескольких профилей Chrome является хорошим индикатором наличия нескольких пользователей, поэтому процесс импорта должен запрашивать, из какого профиля импортировать. Мы передадим эту информацию группе разработки, чтобы они подумали, что следует предпринять.

Как видим, в целом признавая проблему, они оговариваются: «Имея доступ к чужому компьютеру, вы и так можете делать с его данными все, что захотите, в том числе послать самому себе копию файлов настроек Chrome». Это верно, однако далеко не каждый знает, где эти файлы находятся, тогда как установка Opera – штатная функциональность. И ни в каком случае браузер не должен делать своих пользователей похитителями чужих паролей по умолчанию, в виде штатной функциональности.

Что все это значит? Opera – это не только браузер, но и неплохой шпионский инструмент. Приходим к любому человеку, устанавливаем Opera, входим в аккаунт, удаляем Opera – все логины и пароли от Chrome у нас в кармане! Теперь можно идти домой и спокойно, неспешно работать на сайтах под чужим именем.

Увы, разработчики Opera, похоже, не планируют исправление этой уязвимости, судя по сообщению. Видимо, они хотят только сделать так, чтобы пользователь смог выбрать, из какого именно аккаунта Chrome импортировать логины. Это сделает Opera чуть менее скоростным шпионским инструментом, но все так же эффективным. Вам нужно будет просто выбрать имена пользователей, пароли которых вы хотите скопировать в свой аккаунт Opera.

Да, если использовать двухфакторную аутентификацию, описанная проблема полностью исключена. Никто не сможет подтвердить доступ SMS-сообщением или кодом из приложения, кроме вас. В любом случае, если у вас на компьютере установлены Chrome и Opera, будьте особенно внимательны. Также, скорее всего, Chrome не единственный браузер, из которого производится импорт. Почти наверняка это в равной степени касается и Internet Explorer, и Firefox. И будьте трижды осторожны, если в Opera на вашем компьютере работают посторонние люди.

Антон Чивчалов