Уязвимость позволяет получить доступ к чужому Mac без необходимости вводить пароль.
Специалисты компании Check Point сообщили о проблеме безопасности в Mac-версии расширения «Удаленный рабочий стол Chrome» (Google Chrome Remote Desktop), позволяющей злоумышленникам получить доступ к учетной записи пользователя без пароля.
«Удаленный рабочий стол Chrome» – расширение для браузера Chrome, предоставляющее пользователям возможность получать доступ к своим настольным компьютерам с других компьютеров или смартфонов. Обнаруженная исследователями уязвимость позволяет хакерам авторизоваться в качестве гостя и получить доступ к сеансу другого активного пользователя без необходимости вводить пароль.
Для эксплуатации уязвимости владелец учетной записи должен сначала разрешить гостям удаленный доступ к своему компьютеру. Кроме того, когда гость подключается к удаленному компьютеру в сеансе должен быть хотя бы один активный пользователь. Для получения доступа гостю достаточно просто кликнуть на иконку «Гость» на экране авторизации.
Предполагается, что удаленно подключившийся к macOS локальный пользователь получит сеанс гостя. На удаленном компьютере все так и происходит, однако локальная машина (с расширением Chrome) получает сеанс другого активного пользователя.
Исследователи сообщили Google о проблеме, однако компания не посчитала ее уязвимостью безопасности и не будет выпускать исправление.
Специалисты компании Check Point сообщили о проблеме безопасности в Mac-версии расширения «Удаленный рабочий стол Chrome» (Google Chrome Remote Desktop), позволяющей злоумышленникам получить доступ к учетной записи пользователя без пароля.
«Удаленный рабочий стол Chrome» – расширение для браузера Chrome, предоставляющее пользователям возможность получать доступ к своим настольным компьютерам с других компьютеров или смартфонов. Обнаруженная исследователями уязвимость позволяет хакерам авторизоваться в качестве гостя и получить доступ к сеансу другого активного пользователя без необходимости вводить пароль.
Для эксплуатации уязвимости владелец учетной записи должен сначала разрешить гостям удаленный доступ к своему компьютеру. Кроме того, когда гость подключается к удаленному компьютеру в сеансе должен быть хотя бы один активный пользователь. Для получения доступа гостю достаточно просто кликнуть на иконку «Гость» на экране авторизации.
Предполагается, что удаленно подключившийся к macOS локальный пользователь получит сеанс гостя. На удаленном компьютере все так и происходит, однако локальная машина (с расширением Chrome) получает сеанс другого активного пользователя.
Исследователи сообщили Google о проблеме, однако компания не посчитала ее уязвимостью безопасности и не будет выпускать исправление.
