2018-4-23

SECURITY

Descoberta vulnerabilidade no Chrome RDP para macOS

Os investigadores da Check Point descobriram uma vulnerabilidade que permite a um perfil de convidado do Chrome RDP ver toda a informação do utilizador administrador

Descoberta vulnerabilidade no Chrome RDP para macOS

O Chrome Remote Desktop é uma extensão do browser Chrome, que permite aceder de forma remota a outro equipamento através do browser ou de um Chromebook. É totalmente multiplataforma e compatível com praticamente qualquer dispositivo.

A vulnerabilidade foi identificada por um dos analistas de segurança da Check Point, que observou um comportamento estranho no Google Chrome RDP para macOS: uma irregularidade que permite a um utilizador convidado aceder a uma sessão ativa de outro utilizador (que pode ser inclusive o administrador) sem ter que introduzir uma password.

No macOS é possível deixar que outras pessoas usem o seu computador temporariamente como convidados, sem terem que ser adicionados como utilizadores individuais. Com efeito, o administrador pode utilizar os controlos parentais para estabelecer restrições relativas aos conteúdos e funções aos quais estes utilizadores podem aceder.

No entanto, a opção 'Conta de convidado’ não está ativa de forma predefinida e não necessita de uma password para iniciar sessão. Quando alguém inicia sessão desta forma, os ficheiros criados são guardados numa pasta temporária, que atua de forma similar a uma sandbox, e o seu conteúdo é eliminado de cada vez que encerra a sessão.

Para aproveitar esta falha, assim que o convidado se liga a um desktop remoto, o equipamento debe ter pelo menos um utilizador ativo (por exemplo, alguém que tenha iniciado sessão e bloqueado o ecrã após um tempo determinado). Mais tarde, basta entrar na aplicação Chrome Remote Desktop, e poderá aceder a toda a informação do administrador, sem necessidade de fazer login.

ARTIGOS RELACIONADOS

Descoberta vulnerabilidade no iOS
SECURITY

Descoberta vulnerabilidade no iOS

LER MAIS

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.