Descoberta vulnerabilidade no Chrome RDP para macOS

Os investigadores da Check Point descobriram uma vulnerabilidade que permite a um perfil de convidado do Chrome RDP ver toda a informação do utilizador administrador

Descoberta vulnerabilidade no Chrome RDP para macOS

O Chrome Remote Desktop é uma extensão do browser Chrome, que permite aceder de forma remota a outro equipamento através do browser ou de um Chromebook. É totalmente multiplataforma e compatível com praticamente qualquer dispositivo.

A vulnerabilidade foi identificada por um dos analistas de segurança da Check Point, que observou um comportamento estranho no Google Chrome RDP para macOS: uma irregularidade que permite a um utilizador convidado aceder a uma sessão ativa de outro utilizador (que pode ser inclusive o administrador) sem ter que introduzir uma password.

No macOS é possível deixar que outras pessoas usem o seu computador temporariamente como convidados, sem terem que ser adicionados como utilizadores individuais. Com efeito, o administrador pode utilizar os controlos parentais para estabelecer restrições relativas aos conteúdos e funções aos quais estes utilizadores podem aceder.

No entanto, a opção 'Conta de convidado’ não está ativa de forma predefinida e não necessita de uma password para iniciar sessão. Quando alguém inicia sessão desta forma, os ficheiros criados são guardados numa pasta temporária, que atua de forma similar a uma sandbox, e o seu conteúdo é eliminado de cada vez que encerra a sessão.

Para aproveitar esta falha, assim que o convidado se liga a um desktop remoto, o equipamento debe ter pelo menos um utilizador ativo (por exemplo, alguém que tenha iniciado sessão e bloqueado o ecrã após um tempo determinado). Mais tarde, basta entrar na aplicação Chrome Remote Desktop, e poderá aceder a toda a informação do administrador, sem necessidade de fazer login.

Tags

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 13 Maio 2018

IT INSIGHT Nº 13 Maio 2018

NEWSLETTER

Receba todas as novidades na sua caixa de correio!