Issue metadata
Sign in to add a comment
|
Security: Password hijacking using GoogleAccount
Reported by
supamid...@gmail.com,
May 18 2017
|
||||||||||||||||||
Issue descriptionVULNERABILITY DETAILS I've just get passwords of another person by simple entering his GC by my GA. I think that it was synchronization and passwords from GC-cache been easily synchronizated too (btw this person did'nt have GA). And some bug with Guest profile. If Guest log to any web-service his password synchronizates automatically ith GA, which was given this Guest Profile, if GC has been allowed to save password without user agree. На русском (on russian, you can translate this if u can): Я получил пароли другого человека с помощью входа с его компьютера в Гугл Хром с моего Гугл Аккаунта. Я думаю, что это была всего лишь синхронизация и я случайным образом увёл пароли с кэша Гугл Хром и обратная синхронизация уже с паролями прошла успешно. (к слову, у этого человека нет Гугл Аккаунта (и он сохраняет пароли просто в кэш). И баг с Гостевым профилем. Если Гость заходит на любой веб-сайт, то его пароль автоматически синхронизируется c Гугл Аккаунтом, который дал Гостевой профиль, если Гугл Хром разрешил сохранять пароли без соглашения пользователя. VERSION Chrome Version: [58.0.3029.110]. Operating System: [Windows 7 x64]. REPRODUCTION CASE I not a programmer, but I think that some hackers can stole user passwords from GC-cache on any PC, if user did'nt have GA or logged with GA of hacker. And solution is very simple - save passwords only with GA or not sync local passwords without user agree (or better add new settings for that). Write me back if this bug is working. |
|||||||||||||||||||
►
Sign in to add a comment |
|||||||||||||||||||
Comment 1 by wfh@chromium.org
, May 18 2017Status: WontFix (was: Unconfirmed)