“El usuario puede robar su propia contraseña” la inofensiva función de Chrome que se sigue reportando como un bug

Las herramientas para desarrolladores de Google Chrome cuentan con una función que permite alterar el contenido de una página web en tiempo real, puedes probarlo tu mismo cambiando los estilos del CSS o hasta eliminando elementos, además de muchas cosas más.

Justamente gracias a esto es posible usar las Chrome Developer Tools para mostrar en texto plano las contraseñas que escribimos en el navegador y que los sitios web enmascaran con asteriscos. Durante los últimos cinco años esa función ha sido reportada 43 veces como un bug y lo han vuelto a hacer hace pocos días. Pero, Google explica por qué no es tal cosa y por qué no representa un problema de seguridad.

Para “aprovecharse” de esto, el usuario primero tiene que ingresar su clave en el campo de contraseña de la página web. Luego necesita abrir las herramientas de desarrollador de Chrome y ubicar el campo de contraseña dentro del código. Lo siguiente es cambiar el campo de la contraseña en el código HTML alterando el atributo “type” y cambiarlo de “password” a “text”.

Chrome Bug

Chrome mostrará la contraseña en texto legible en lugar de asteriscos. Los ingenieros de Chrome han bautizado al bug que no es bug como “Los usuarios pueden robar sus propias contraseñas“.

Por qué no es un bug

El equipo de Chrome ha explicado por qué realmente no es gran cosa y esto no supone un problema para el modelo de seguridad del navegador:

Uno de los reportes más frecuentes que recibimos es sobre la revelación de contraseñas usando la función para inspeccionar elemento (ejemplo). La gente razona que “Si puede ver la contraseña, debe ser sun bug”. Sin embargo, esto es solo uno de los ataques físicos-locales descritos en el ejemplo anterior, y todos esos puntos se aplican aquí también.

La razón por la que la contraseña está enmascarada es solo para prevenir la revelación a través de “shoulder-surfing” (es decir, la vista pasiva de tu pantalla por personas que están cerca), no porque sea un secreto desconocido para el navegador. El navegador sabe la contraseña en muchas capas, incluyendo JavaScript, herramientas de desarrollo, memoria de procesos, y así. Cuando estás presente físicamente junto al ordenador, y solo cuando estás presente físicamente junto al ordenador, hay, y siempre habrán, herramientas para extraer la contraseña desde cualquiera de estos lugares.

En pocas palabras, que puedas usar las herramientas de Chrome para ver la contraseña detrás de los asteriscos no supone un problema de seguridad más allá de cualquier otro que puedas sufrir si alguien con malas intenciones se hace con tu ordenador de forma física.

No es un ataque remoto, es uno para el que tienes que tener la máquina en las manos, y hay muchas formas de obtener una contraseña en ese caso. Los asteriscos no son ninguna forma mágica de seguridad o cifrado que oculta la contraseña al navegador, es solo una forma de evitar que alguien que pase frente a tu pantalla vea lo que escribes en el campo de contraseña. Más deberías preocuparte por usar contraseñas seguras.

Vía | Bleeping Computer
En Genbeta | Cómo utilizar la nemotecnia para crear y recordar contraseñas complejas y seguras

Temas

Loading...