La compañía de seguridad Check Point advierte sobre la existencia de una vulnerabilidad en Chrome Remote Desktop (Chrome RDP), es decir, en la extensión que permite acceder remotamente a otro equipo vía Chrome o un Chromebook.
Según la firma, esta vulnerabilidad tiene que ver con su uso en computadores macOS, donde usuarios invitados pueden utilizar el dispositivo sin ser añadidos como usuarios individuales y generando archivos en una carpeta temporal. Ese contenido se elimina al cerrar la sesión.
El caso es que un usuario invitado podría acceder a la sesión activa de otro, por ejemplo del administrador, sin necesidad de introducir una contraseña. Y es que la opción de invitado no requiere de contraseña para el inicio de sesión.
El bug detectado en la aplicación Chrome RDP para macOS permitiría a un perfil de invitado ver toda la información de otra persona.
“Para aprovechar este fallo”, detalla Check Point, “una vez que el invitado se conecta a un equipo de escritorio remoto, el equipo debe tener al menos un usuario activo (por ejemplo, alguien ha iniciado sesión y ha bloqueado la pantalla después de un tiempo determinado)”, consigna IT Espresso.
“Más tarde”, añade, “simplemente entrando en la aplicación Chrome Remote Desktop, podrá acceder a toda la información del administrador sin necesidad de hacer login”.
