Beveiligingsbedrijf Identity Finder meldt dat Chrome gegevens die zijn ingevoerd in formulieren op websites, zoals wachtwoorden en creditcardnummers, opslaat in verschillende onversleutelde databases. Dat gebeurt in kale tekst. De onversleutelde gegevens zijn vervolgens diep in de cache-files op de computer te vinden.

Malware

Iedereen die toegang heeft tot een systeem kan er derhalve naar op zoek gaan. Een aanvaller zou met malware op het systeem de cachebestanden kunnen stelen. Identity Finder ontwikkelde al een proof-of-concept-aanval met malware die dat doet. Op Windows-machines is de data te vinden in de map localappdata\Google\Chrome\User Data\Default\.. De gegevens zijn te verwijderen door Chrome's cache-geheugen te wissen.

Het bedrijf raadt gebruikers dan ook aan elke keer als ze bijvoorbeeld een online aankoop hebben gedaan, direct de cache moeten legen. Ook het uitschakelen van de optie 'Autofill' voor het automatisch invullen van formuliergegevens of het gebruik van de Incognito-modues zou de ingevulde gegevens moeten beveiligen.

Encryptie gebruiken

Google stelt in een reactie dat gebruikers hun lokaal opslagen gegevens het beste met systeemwijde encryptietools kunnen beveiligen. Volgens Google vraagt Chrome wel eerst om toestemming voordat gevoelige gegevens als creditcarddata worden opgeslagen. Chrome OS versleutelt wel standaard alle data die lokaal wordt opgeslagen, aldus Google in een verklaring. "We raden mensen aan om de beveiligingsmaatregelen in hun besturingssysteem te gebruiken."