Semper-Viventem Oct 12 2016 at 17:04

Хранение пользовательских паролей в Google Chrome на Android

2 min

39K

Information Security *Google Chrome Development for Android *

From sandbox

+20

Comments 26

Eivind Oct 12 2016 at 18:05

При наличии режима «капитан очевидность» и root-прав не обязательно полагаться, что пользователь вот так вот просто оставил свои пароли лежать в открытом виде. Можно устроить MITM и выловить эти пароли прямо из трафика, а для случая TLS еще заменить системные сертификаты.

UFO just landed and posted this here

tentakle Oct 13 2016 at 03:57

Осталось погуглить «lastpass утечка» и перестать пользоваться менеджерами паролей. Особенно забавно, когда все пароли передают стороннему сервису, ну или «защищают» сотню паролей одним мастер-паролем.

UFO just landed and posted this here

MuradGazibekov Oct 13 2016 at 10:32

У Apple [преданным фанатом которой я являюсь] тоже все очень плохо. Недавно был очень удивлен. Открыл страничку авторизации для публичной Wi-Fi сети, жмякнул на поле логин и он сразу же предложил взять логин/пароль из связки ключей, я выбрал «Просмотреть доступные» или что-то в этом духе и он без всяких запросов [пароля Apple ID, Touch ID или хотя бы локального пароля от устройства] показал мне все наборы std::tuple<сайт, логин, пароль>.

varnav Oct 13 2016 at 15:30

Чтобы получить доступ ко всем сохраненным паролям в Firefox нужно 6 кликов мышью

UFO just landed and posted this here

itssvet Oct 14 2016 at 12:03

Справедливости ради не могу не отметить, мой FF настроен так, что он не покажет мои пароли кому попало без ввода мастер-пароля.

Frankenstine Oct 15 2016 at 13:27

Правда возникает вопрос надёжности защиты мастер-паролем. Где и в каком виде он хранится, насколько легко его извлечь?

justmara Oct 12 2016 at 22:07

а если учесть тот факт, что хром синхронизирует настройки/пароли между десктопом и мобильной версией… а данные кредиток он там же хранит? (ну, автокомплит для полей форм, он там часто предлагает запомнить инфу по карточке).

Delta6 Oct 13 2016 at 10:32

В браузере в хроме хранится 4 цифры последние. Если есть вариант подставить свою карту

justmara Oct 13 2016 at 12:19

Агануда

Delta6 Oct 13 2016 at 15:00

Я подумал мы говорили о картах из Google Wallets, они тоже тянутся в хром.

Delta6 Oct 13 2016 at 15:11

А те пароли, что вы показали, не синкаются. Можете проверить.

justmara Oct 13 2016 at 18:34

Не надоело пальцем в небо тыкать? Я-то, как раз, проверил

Delta6 Oct 13 2016 at 21:32

Вот мои карты с хрома. Одна из них — фейковая, нашел при помощи генератора карт, вставил в хроме. Одна из Google Wallet — я не могу её посмотреть.

Все карты

Фейковая карта

Скриншот с андроида

Спорить больше не буду, так как вы, скорее всего, ввели их в браузере хрома на андроиде. Если даже и нет(в чем я сомневаюсь), то с такой манерой общения мне дело не хочется иметь больше.

UFO just landed and posted this here

Semper-Viventem Oct 13 2016 at 10:30

Все верно. Дело в том, что это поле является байтовым массивом типа blob, и программа, через которую вы смотрели, просто не смогла его «пережевать». Если открыть эту базу через какой-нибудь sqlite3 (через терминал в андроиде он тоже доступен), то все отображается вполне корректно.

gmikhail94 Oct 13 2016 at 08:35

Помню, несколько лет назад делал простенькую программу, которая при запуске на ПК пользователя искала cookie файл Google Chrome и вытягивала оттуда данные авторизации с конкретного сайта (cookie файл был обычным текстовым документом). В итоге получалась фича, когда при первом запуске программы она сама авторизовывалась под аккаунтом пользователя, без ввода логина/пароля. Позже Google Chrome стал шифровать cookie файл и фича стала неактуальна.

По поводу самой публикации, могу еще добавить что есть официальный сервис от Google, на котором можно посмотреть в открытом виде все сохраненные в Google Chrome пароли — https://passwords.google.com

imm Oct 13 2016 at 13:53

На самом деле там есть опция — защита с помощью кодовой фразы.
По умолчанию не включена, надо включать руками

UFO just landed and posted this here

Thero Oct 14 2016 at 12:03

в винде спрашивает пароль пользователя прежде чем показать… на андроиде 7 это вроде как долдно быть решено глобально, но тут дело в том что по задумке гугл не должно быть рут доступа на телефонах.
другое дело что по хорошему автотестер приложений в плеймаркете должен был завернуть приложение…

AnarchyMob Oct 13 2016 at 10:32

Зачем вообще хранить пароли на локальной машине? Ведь браузер актуален только при наличии доступа к сети, а значит пароль при входе на какую либо страницу можно "забирать" прямо с сервера Google (passwords.google.com)...

KennyGin Oct 13 2016 at 17:40

Браузер актуален при наличии локальной сети. Например, в нашей студенческой локалке было несколько сотен сайтов, включая официальный сайт ВУЗа с личным кабинетом, сайт провайдера тоже с личным кабинетом…

AnarchyMob Oct 13 2016 at 21:46

Вопрос к автору. А где исходники программы? А то некрасиво получается (не то чтобы паранойя), но все же...

Semper-Viventem Oct 14 2016 at 13:54

Все верно. Исходники залью на гитхаб в ближайшее время, и прикреплю к статье. Спасибо.