Chrome, una falla rivela le password salvate

Non lasciate mai il computer incustodito e col login effettuato, soprattutto se su di esso è installato Chrome. Il browser di Google, infatti, è finito nell’occhio del ciclone di recente per via della gestione “allegra” delle password salvate. La scoperta l’ha fatta lo sviluppatore Elliott Kember, poco dopo aver importato le password di Safari in Chrome, ma il problema è facilmente verificabile in una manciata di secondi.

Aprite le Impostazioni di Chrome (un bel mela virgola basterà), scorrete l’elenco delle opzioni in basso e fate clic su “Mostra impostazioni avanzate…”. A quel punto, nella sezione “Password e moduli” fate clic su “Gestisci password salvate.” Si aprirà un’altra finestra con tutti gli URL e le relative password coperte da asterischi; se però fate clic su una di esse e selezionate il tasto “Mostra,” l’app la rivelerà in chiaro senza neppure richiedere le proprie credenziali. In pratica, se qualcuno ha accesso fisico al computer, può anche accedere a una fetta dei dati conservati nel Portachiavi senza conoscerne la password di sblocco.

Anche Mozilla Firefox opera in un modo simile, solo che prima di mostrare tutto in chiaro, si premura di domandare “Visualizzare le password memorizzate?” Un clic, e siamo punto e capo. Un giorno magari ci spiegheranno perché non si possa salvare tutto nel Portachiavi come fanno le altre app per Mac; tra l’altro, su Linux Firefox chiede sempre di impostare una master password prima di attivare il salvataggio delle credenziali: cosa impedisce di fare lo stesso anche su OS X? Mistero.

La risposta di Google non si è fatta attendere, però e in pratica, finisce col fare lo scaricabarile su Apple. A dire del capo del team di sicurezza di Chrome, infatti, i “paletti posti all’interno della gestione account di OS [per proteggere le password, n.d.A.] non sono per niente affidabili; stanno lì per scenografia.” E fa pure un esempio:

Considerate il caso di qualcuno in malafede che riesca ad accedere al vostro account. Costui potrebbe rubarvi i cooky, la cronologia, installare estensioni malevole per intercettare tutta l’attività del browser o installare un software di monitoraggio dell’attività utente. Il punto è che, una volta ottenuto accesso all’account, abbiamo già perso, perché ci sono troppi vettori che gli consentiranno di ottenere quel che vuole.
Abbiamo anche parlato tante volte della master password […], ma non ci crediamo. […] Siamo sempre arrivati alla conclusione che non vogliamo offrire ai clienti un falso senso di sicurezza o incoraggiare comportamenti rischiosi. […] Una volta ottenuto accesso al tuo account nell’OS, chiunque può fare qualunque cosa.

Sarà, però intanto se a costui complichiamo un po’ la vita o lo costringiamo a più passaggi tecnici, magari guadagniamo tempo e, chissà, forse ne scoraggiamo persino qualcuno.

In ogni caso, le parole di Google sono chiare: nessun intervento verrà praticato nell’immediato. E visto che tutto resta com’è, meglio sapere certe cose. Impostate una password dopo il salvaschermo (Preferenze di Sistema, Sicurezza e Privacy, “Richiedi password Immediatamente dopo lo stop o l’avvio del salvaschermo.”) e un angolo attivo in cui avviarlo (Preferenze di Sistema, Scrivania e Salvaschermo, Angoli Attivi…, ). E ogni volta che abbandonate la posizione, anche solo per un minuto, lasciate il cursore all’angolo giusto: così tagliamo la testa al toro.