Hallo Habr! Ich bin ein junger Entwickler, der sich auf Android-Entwicklung und Informationssicherheit spezialisiert hat. Vor nicht allzu langer Zeit habe ich mich gefragt: Wie speichert Google Chrome gespeicherte Benutzerkennwörter? Bei der Analyse von Informationen aus dem Netzwerk und den Dateien von Chrome selbst (der Artikel war besonders informativ) entdeckte ich gewisse Ähnlichkeiten und Unterschiede in der Implementierung des Speicherns von Passwörtern auf verschiedenen Plattformen und schrieb zur Demonstration Anwendungen zum Abrufen von Passwörtern aus der Android-Version von Browser.

Wie es funktioniert?

Wie wir aus verschiedenen Online-Veröffentlichungen zu diesem Thema wissen können, speichert Google Chrome auf dem PC die Passwörter seiner Nutzer im folgenden Verzeichnis:

„C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\“ in der Datei „ Anmeldedaten".

Bei dieser Datei handelt es sich um eine SQLite-Datenbank, und es ist durchaus möglich, sie zu öffnen und anzuzeigen. In der Tabelle Anmeldungen Folgende für uns interessante Bereiche können wir erkennen: origin_url(Webseitenadressse), Benutzername_Wert(Anmeldung), Passwortwert(Passwort). Das Passwort wird als Byte-Array dargestellt und mit einem für jedes System individuellen Maschinenschlüssel verschlüsselt. Weitere Details finden Sie im Artikel. Somit gibt es im Windows-Client eine Art Schutz.

Android

Da ich aber mehr auf Android stehe, ist meine Aufmerksamkeit auf den Android-Browser-Client gelenkt.

Das Paket „öffnen“. Google Chrome (com.android.chrome), stellte ich fest, dass seine Struktur der Struktur des PC-Clients sehr ähnlich ist und es nicht schwierig war, genau dieselbe Datenbank zu finden, die für die Speicherung von Benutzerkennwörtern verantwortlich ist. Der vollständige Pfad zur Datenbank lautet wie folgt: „/data/data/com.android.chrome/app_chrome/Default/Login Data“. Im Allgemeinen ist diese Datenbank ihrer „großen Schwester“ aus der PC-Version sehr ähnlich, mit nur einem, aber sehr wesentlichen Unterschied: Passwörter werden hier im Klartext gespeichert. Es stellt sich die Frage: Ist es möglich, Passwörter programmgesteuert aus der Datenbank zu extrahieren? Die Antwort war ziemlich offensichtlich: Ja, wenn Ihre Anwendung über Root-Rechte verfügt.

Implementierung

Aus Gründen der Übersichtlichkeit wurde beschlossen, ein eigenes Tool zum Abrufen von Passwörtern aus der Browserdatenbank zu entwickeln.

Um seine Arbeit kurz zu beschreiben, funktioniert es wie folgt:

• Ruft root ab.
• Kopiert die Chrome-Datenbank in ein eigenes Verzeichnis.
• Greift mit chmod auf eine Kopie der Datenbank zu.
• Öffnet die Datenbank und ruft Informationen zu Logins und Passwörtern ab.

Die Anwendung wurde auf Google Play veröffentlicht.

Abschluss

Als Schlussfolgerung aus der geleisteten Arbeit können wir sagen, dass das Abrufen der Passwortdatenbank aus dem Browser und das Senden an Ihren Server eine völlig lösbare Aufgabe ist, wenn Sie über Root-Rechte verfügen, und diese Tatsache sollte Sie darüber nachdenken lassen, ob Sie einer Datenbank vertrauen sollten Anwendung mit Superuser-Rechten.

Ich hoffe, dieser Artikel war informativ. Vielen Dank für Ihre Aufmerksamkeit!

Stellen wir uns die folgende Situation vor. Wir finden ein Smartphone mit Android 4.1–4.4 (oder CyanogenMod 10–11) und anstatt es dem Besitzer zurückzugeben, beschließen wir, es zu behalten und alle vertraulichen Informationen daraus zu extrahieren, die wir können. Wir werden versuchen, dies alles ohne spezielle Tools wie verschiedene Systeme zum direkten Erstellen eines Dumps vom NAND-Speicher oder Hardwaregeräte zum Entfernen von S-ON zu erreichen, sodass der Eigentümer nicht herausfindet, was wir tun, und das nicht aus der Ferne finden oder blockieren kann Gerät. Lassen Sie mich gleich einen Vorbehalt anmerken, dass dies keineswegs ein Handlungsleitfaden ist, sondern eine Möglichkeit, die Sicherheit von Smartphones zu erkunden und Informationen für diejenigen bereitzustellen, die ihre Daten schützen möchten.

WARNUNG!

Alle Informationen dienen ausschließlich Informationszwecken. Weder der Autor noch die Herausgeber haften für etwaige Schäden, die durch die Materialien dieses Artikels verursacht werden.

Vorrangige Maßnahmen

Also haben wir das Smartphone eines anderen in die Hände bekommen. Egal wie, es ist wichtig, dass wir es bereits haben. Das erste, was wir tun müssen, ist, es so schnell wie möglich vom Mobilfunknetz zu trennen, das heißt, dem Gebot der Gopniks folgend, die SIM-Karte zu entfernen und wegzuwerfen. Ich würde dies jedoch nur empfehlen, wenn die SIM-Karte entnommen werden kann, ohne das Smartphone auszuschalten, also entweder durch vorsichtiges Anheben des Akkus oder durch den seitlichen Schlitz, wenn es sich um ein Smartphone mit festem Akku handelt (Nexus 4). /5, zum Beispiel). In allen anderen Fällen ist es besser, sich auf das Einschalten des Flugmodus zu beschränken, da es durchaus möglich ist, dass in Android der Verschlüsselungsmodus für Benutzerdaten aktiviert ist und nach dem Ausschalten das Smartphone gesperrt wird, bis der Verschlüsselungsschlüssel vorliegt trat ein.

Außerdem sollten Sie Ihr Smartphone unter keinen Umständen mit einem Wi-Fi-Netzwerk verbinden, da es möglich ist, dass die darauf installierte Tracking-Software (und Android 4.4.1 hat sie bereits integriert) sofort funktioniert und Sie möglicherweise auf „ ein zufälliges Treffen mit dem Besitzer und seinen Freunden (Sie müssen sich keine Sorgen um die Polizei machen, sie wird ein solches Opfer schicken). Ich würde die Frontkamera für alle Fälle mit etwas abdecken, vielleicht macht sie gerade Bilder und sie werden bei der ersten Gelegenheit gesendet.

Bildschirm sperren

Nachdem wir unsere Person gesichert haben, können wir mit den Ausgrabungen beginnen. Das erste Hindernis, das wir umgehen müssen, ist der Sperrbildschirm. In 95 % der Fälle besteht kein Schutz, aber die restlichen fünf Prozent dürfen wir nicht vergessen.

Es gibt drei Haupttypen sicherer Sperrbildschirme in Android. Dabei handelt es sich um einen vierstelligen PIN-Code, ein Muster oder ein Gesichtsfoto. Um die ersten beiden freizuschalten, werden insgesamt zwanzig Versuche unternommen, aufgeteilt in fünf Abschnitte mit einer „Ruheminute“ dazwischen. Es gibt mehrere Entsperrversuche über ein Gesichtsfoto, danach wechselt das Smartphone zu einem PIN-Code. In allen drei Fällen wird das Smartphone nach dem Scheitern aller Versuche gesperrt und fragt nach dem Google-Passwort.

Unsere Aufgabe besteht darin, zu versuchen, den Sperrbildschirm zu umgehen, um nicht auf das Google-Passwort zurückzugreifen, das wir definitiv nicht erraten können. Am einfachsten geht das über eine USB- und ADB-Verbindung:

$ adb-Shell rm /data/system/gesture.key

Oder so:

$ adb shell $ cd /data/data/com.android.providers.settings/databases $ sqlite3 settings.db > update system set value=0 where name="lock_pattern_autolock"; > update system set value=0 where name="lockscreen.lockedoutpermanently"; >.beenden

Diese Methode weist jedoch zwei Probleme auf. Es erfordert Root-Rechte und funktioniert nicht in Android 4.3 und höher, da der Zugriff auf ADB eine Bestätigung des Geräts erfordert, was bei gesperrtem Bildschirm nicht möglich ist. Darüber hinaus kann der ADB-Zugriff in den Einstellungen deaktiviert werden.

Wir können eine Ebene tiefer gehen und die Wiederherstellungskonsole verwenden, um die Sperrschlüsseldatei zu löschen. Starten Sie dazu einfach die Wiederherstellungskonsole neu (ausschalten und einschalten, während Sie die Lauter-Taste gedrückt halten) und flashen Sie die folgende Datei. Es enthält ein Skript, das /data/system/gesture.key löscht und die Sperre aufhebt, ohne die aktuelle Firmware zu beeinträchtigen.

Das Problem bei diesem Ansatz ist die Abhängigkeit von einer benutzerdefinierten Wiederherstellungskonsole. Die Standardkonsole akzeptiert die Datei einfach nicht als mit einer falschen digitalen Signatur signiert. Darüber hinaus wird das Telefon bei aktivierter Datenverschlüsselung beim nächsten Start gesperrt und kann nur durch vollständiges Löschen aller Daten gerettet werden, was unserem Ziel zuwiderläuft.

Eine noch niedrigere Ebene ist Fastboot, also die Manipulation des Geräts auf Bootloader-Ebene. Das Schöne an dieser Methode ist, dass Sie mit dem entsperrten Bootloader alles mit dem Gerät tun können, einschließlich des Herunterladens und Installierens einer benutzerdefinierten Wiederherstellungskonsole. Schalten Sie dazu einfach das Smartphone aus (auch hier berücksichtigen wir die Datenverschlüsselung) und schalten Sie es im Bootloader-Modus mit der Power-Taste + „Lautstärke verringern“ ein. Anschließend können Sie über den Fastboot-Client eine Verbindung zum Gerät herstellen:

$Fastboot-Geräte

Jetzt laden wir das „Roh“-Image der benutzerdefinierten Wiederherstellungskonsole (mit der Erweiterung „img“) für „unser“ Gerät herunter und versuchen, es ohne Installation herunterzuladen:

$ fastboot boot cwm-recovery.img

Wenn der Bootloader des Geräts entsperrt ist, startet das Smartphone in der Konsole neu, über die Sie den ADB-Modus aktivieren, damit das „Update“, dessen Link oben angegeben ist, herunterladen und flashen können. Als nächstes reicht ein Neustart aus, um vollen Zugriff auf das Smartphone zu erhalten. Übrigens, wenn Sie Besitzer eines der Nexus-Geräte werden, können Sie dessen Bootloader ganz einfach wie folgt entsperren:

$ Fastboot OEM entsperren

Dies ist jedoch nur ein Denkanstoß, da das Gerät durch den Entsperrvorgang automatisch auf die Werkseinstellungen zurückgesetzt wird.

Lassen Sie uns nun darüber sprechen, was zu tun ist, wenn alle diese Methoden nicht funktionieren. In diesem Fall können Sie versuchen, einen Fehler im Sperrbildschirm selbst zu finden. Überraschenderweise sind sie, obwohl sie in reinem Android nicht vorhanden sind, recht häufig in den Sperrbildschirmen proprietärer Firmware des Herstellers zu finden. Beispielsweise gab es beim Galaxy Note 2 und Galaxy S 3 mit Android 4.1.2 einmal einen lustigen Fehler, der es Ihnen ermöglichte, kurzzeitig auf den Desktop zuzugreifen, indem Sie einfach die Notfalltaste, dann die ICE-Taste (unten links im Wählfeld) und schließlich die Startseite drückten Taste. Danach erschien der Desktop buchstäblich eine halbe Sekunde lang, was völlig ausreichte, um die Sperre aufzuheben.

Im Xperia Z wurde ein noch schlimmerer Fehler gefunden: Man konnte auf dem Notrufgerät einen Code wählen, um in das Technikmenü zu gelangen ( # #7378423## ), verwenden Sie es, um zum Menü „NFC-Diagnosetest“ zu gelangen und kehren Sie dann durch das gleiche Drücken der „Home“-Taste zum Desktop zurück. Es fällt mir sehr schwer, mir vorzustellen, wie solche wilden Käfer entstehen könnten, aber es gibt sie.

Was das Umgehen des Musters angeht, ist alles ganz einfach. Er kann auf die gleiche Weise wie der PIN-Code deaktiviert werden, es gibt jedoch zwei zusätzliche Optionen. Erstens wählen Menschen trotz der beeindruckenden Anzahl möglicher Schlüsseloptionen aufgrund ihrer Psychologie am häufigsten einen Schlüssel, der einem der Buchstaben des lateinischen Alphabets ähnelt, also demselben Z, U, G, Zahl 7 usw., wodurch sich die Anzahl verringert. Es gibt Dutzende Möglichkeiten. Zweitens hinterlässt Ihr Finger beim Eingeben einer Taste einen überhaupt nicht illusorischen Abdruck auf dem Bildschirm, der, selbst wenn er verschwommen ist, recht leicht zu erraten ist. Der letzte Nachteil lässt sich jedoch leicht durch eine matte Schutzfolie ausgleichen, auf der einfach keine Spuren zurückbleiben.

Nun, das Letzte, worüber ich sprechen möchte, ist die sogenannte Gesichtskontrolle. Dabei handelt es sich um die umständlichste Sperrmöglichkeit, die sich einerseits sehr leicht umgehen lässt, indem man dem Smartphone einfach ein Foto des Besitzers zeigt, andererseits aber auch recht schwierig ist, da man, ohne den Namen des Besitzers überhaupt zu kennen, Es ist nicht möglich, sein Foto zu bekommen. Auch wenn es auf jeden Fall einen Versuch wert ist, ein Foto von sich selbst zu machen, ist es durchaus möglich, dass Sie wie der Vorbesitzer aussehen.

Innen

Nehmen wir an, wir haben den Sperrbildschirm umgangen. Jetzt wird unser Handeln darauf abzielen, möglichst viele Informationen vom Smartphone zu bekommen. Lassen Sie mich gleich reservieren, dass wir das Passwort für Google, Dienste wie Facebook, Twitter und Kreditkartennummern nicht erhalten. Weder das eine noch das andere ist einfach auf einem Smartphone verfügbar; Anstelle von Passwörtern werden Authentifizierungstoken verwendet, die den Zugriff auf den Dienst nur von einem bestimmten Smartphone aus ermöglichen. Letztere werden auf den Servern der entsprechenden Dienste (Google Play, PayPal) gespeichert und stattdessen werden dieselben Token verwendet.

Darüber hinaus können Sie nicht einmal etwas bei Google Play kaufen, da die neuesten Versionen Sie dazu zwingen, bei jedem Kauf nach einem Google-Passwort zu fragen. Diese Funktion kann übrigens deaktiviert werden, aber auch in diesem Fall geht die Bedeutung von Einkäufen verloren, da der gesamte Inhalt an das Konto einer anderen Person gebunden wird.

Auf der anderen Seite kann es durchaus sein, dass wir, wenn nicht sogar vollständig, Konten kapern, dann zumindest die E-Mails, Facebook und andere persönliche Informationen des Benutzers lesen, und dort kann es sein, dass sich dort bereits etwas Interessantes befindet. In diesem Fall gewährt Gmail einen Sondergewinn, der zur Wiederherstellung Ihres Kontos bei anderen Diensten verwendet werden kann. Und wenn der Nutzer noch keine Zeit hatte, in den Kommunikationsshop zu gehen, um die SIM-Karte zu sperren, ist es möglich, seine Identität anhand der Telefonnummer zu bestätigen. Sie sollten dies jedoch erst tun, nachdem Sie alle Sicherheitsmechanismen deaktiviert haben (wir möchten nicht durch die Diebstahlsicherung verfolgt werden).

Diebstahlsicherung entfernen

Alle Anwendungen zur Ortung von Smartphones mit Android lassen sich in drei Gruppen einteilen: „Papierkorb“, „Spielzeug“ und „Pull“. Die ersten zeichnen sich dadurch aus, dass sie von College-Studenten in drei Stunden geschrieben wurden und tatsächlich die gewöhnlichsten Anwendungen darstellen, die Daten von einem Positionssensor erfassen und an einen unbekannten Ort senden können. Das Besondere an solcher Software ist, dass sie sehr leicht zu erkennen und zu entfernen ist. Tatsächlich reicht es aus, die Liste der installierten Software durchzugehen, unverständliche Namen in die Suche einzugeben, Anti-Diebstahl-Software zu identifizieren und sie zu entfernen. Genau das muss in der ersten Phase getan werden.

Bei der zweiten Art von Anwendung wird behauptet, es handele sich um ein seriöses Werkzeug, in Wirklichkeit ist es aber keins. Typischerweise kann eine solche Software nicht nur Koordinaten an einen Remote-Server senden, sondern sich auch verstecken und vor dem Löschen schützen. Die zweite Funktion wird normalerweise durch die Erstellung der Anwendung als Dienst ohne GUI implementiert. In diesem Fall ist sein Symbol nicht in der Liste der Anwendungen sichtbar, aber die Anwendung selbst bleibt natürlich im Hintergrund hängen, was mit jedem Prozessmanager leicht festzustellen ist.

Der Schutz vor Löschung in solcher „Software“ wird in der Regel durch die Registrierung als Geräteadministrator implementiert. Die zweite Aktion, die Sie ergreifen müssen, besteht also darin, zu „Einstellungen -> Sicherheit -> Geräteadministratoren“ zu gehen und einfach alle dort aufgeführten Anwendungen zu deaktivieren. Das System sollte einen PIN-Code oder ein Passwort anfordern. Wenn diese jedoch nicht bereits auf dem Sperrbildschirm angezeigt werden, wird der Zugriff sofort gewährt. Es ist lustig, aber Googles Diebstahlschutz, der eigentlich in das Betriebssystem integriert ist, wird auf genau die gleiche Weise deaktiviert.

Die dritte Anwendungsart schließlich ist die Diebstahlsicherung, die von Menschen programmiert wurde. Der Hauptunterschied zwischen solchen Anwendungen besteht darin, dass sie sich neben der Tarnung auch in der /system-Partition registrieren können (sofern Root vorhanden ist), was es unmöglich macht, sie mit Standardmitteln zu entfernen. Das einzige Problem besteht darin, dass sie weiterhin in der Liste der Prozesse sichtbar sind. Um sie zu deaktivieren, gehen Sie einfach zu „Einstellungen -> Anwendungen -> Alle“, klicken Sie dann auf die gewünschte Anwendung und klicken Sie auf die Schaltfläche „Deaktivieren“.

Das ist alles, was der Schutz ist. Diese Liste sollte auch normale Anwendungen enthalten, die als Kernelmodul oder zumindest als native Linux-Anwendung implementiert sind und die kein Standard-Prozessmanager anzeigt, die ich aber aus irgendeinem Grund noch nicht gesehen habe. Andererseits würden die Befehle ps und lsmod sie immer noch offenlegen (es sei denn, es handelte sich um eine richtige Hintertür), sodass sich der Grad der Tarnung nicht wesentlich erhöhen würde.

Root- und Speicherauszug

Der nächste Schritt besteht darin, einen internen Speicherauszug zu erstellen. Wir können nicht sicher sein, dass im Telefon keine Lesezeichen mehr vorhanden sind, insbesondere wenn es sich um proprietäre Firmware von HTC und Samsung handelt. Bevor Sie das Netzwerk einschalten, ist es daher besser, alle Daten auf unserer Festplatte zu speichern. Andernfalls können sie durch einen Remote-Dump gelöscht werden.

Dazu benötigen Sie unbedingt Root-Rechte (es sei denn natürlich, das Telefon ist noch nicht gerootet). Wie man sie bekommt, ist Thema eines eigenen Artikels, zumal jedes Smartphone seine eigene Anleitung hat. Am einfachsten ist es, sie in einem thematischen Forum zu finden und sie durchzuführen, indem Sie Ihr Smartphone über USB an Ihren Computer anschließen. In manchen Fällen erfordert das Rooten einen Neustart, daher ist es besser, sofort sicherzustellen, dass die Smartphone-Daten nicht verschlüsselt sind (Einstellungen -> Sicherheit -> Verschlüsselung), da wir sonst nach dem Neustart den Zugriff darauf verlieren.

Sobald Sie Root erhalten haben, kopieren Sie die Dateien einfach mit ADB auf Ihre Festplatte. Uns interessieren nur die Partitionen /data und /sdcard, daher machen wir Folgendes (Anleitung für Linux):

$ adb root $ adb pull /data $ mkdir sdcard && cd sdcard $ adb pull /sdcard

Alle Dateien werden im aktuellen Verzeichnis empfangen. Es ist zu beachten, dass sich der Inhalt der virtuellen Speicherkarte im Abschnitt /data befindet und der zweite Befehl einfach nicht benötigt wird, wenn das Smartphone keinen Steckplatz für eine SD-Karte hat.

Was als nächstes mit diesen Dateien zu tun ist, wird nur Ihre Fantasie zeigen. Zunächst sollten Sie auf den Inhalt von /data/data achten, dort werden alle privaten Einstellungen aller installierten Anwendungen (auch Systemanwendungen) gespeichert. Die Formate zum Speichern dieser Daten können völlig unterschiedlich sein, die allgemeine Praxis besteht jedoch darin, sie in herkömmlichen Android-SQLite3-Datenbanken zu speichern. Sie befinden sich normalerweise ungefähr auf den folgenden Wegen:

/data/data/com.examble.bla-bla/setting.db

Sie können sie alle mit dem Linux-Befehl „find“ finden, der im Originalverzeichnis ausgeführt wird:

$finden. -name\*.db

Sie können nicht nur persönliche Daten, sondern auch Passwörter enthalten (der eingebaute Browser speichert sie genau so und in übersichtlicher Form). Sie müssen lediglich einen beliebigen grafischen Datenbankmanager SQLite3 herunterladen und die Kennwortzeichenfolge in das Suchfeld eingeben.

Anwendungsforschung

Jetzt können wir den Flugmodus endlich deaktivieren, damit das Smartphone mit Google-Diensten und anderen Websites kommunizieren kann. Es sollte sich keine SIM-Karte mehr darin befinden und die Standortbestimmung (auch per IP) kann unter „Einstellungen -> Standort“ deaktiviert werden. Danach ist es nicht mehr möglich, uns zu verfolgen.

Was macht man als nächstes? Gehen Sie die Korrespondenz in Gmail durch und finden Sie Passwörter. Besonders gewissenhafte Menschen erstellen sogar einen speziellen Ordner für Briefe mit Passwörtern und vertraulichen Informationen. Sie können auch versuchen, bei Diensten eine Passwortänderung mit Bestätigung per E-Mail anzufordern. Bei Google, Facebook, PayPal und anderen normalen Diensten funktioniert dies jedoch nur, wenn Sie über eine Telefonnummer verfügen, für die Sie die SIM-Karte zurückgeben müssen Karte an ihren Platz.

Generell ist hier alles Standard. Wir haben eine E-Mail, vielleicht eine Telefonnummer, aber keine Passwörter für Dienste. All dies sollte ausreichen, um viele Konten zu kapern, aber ob es notwendig ist oder nicht, ist eine ernstere Frage. Das Wiederherstellen desselben PayPal- oder WebMoney-Kontos ist selbst für den Eigentümer selbst äußerst schwierig, und die hier erhaltenen Informationen werden eindeutig nicht ausreichen. Der Sinn der Entführung von Konten von Odnoklassniki und anderen ähnlichen Websites ist sehr fraglich.

Sie können die /system-Partition von möglichen Lesezeichen befreien, indem Sie einfach die Firmware neu installieren. Darüber hinaus ist es besser, ein inoffizielles Programm zu verwenden und es über die Standard-Wiederherstellungskonsole zu flashen. In diesem Fall ist der Anti-Dieb nicht in der Lage, sich selbst mit den Funktionen der benutzerdefinierten Konsole zu sichern.

Schlussfolgerungen

Ich befürworte in keiner Weise, das zu tun, was in diesem Artikel beschrieben wird. Die darin enthaltenen Informationen hingegen richten sich an Personen, die ihre Daten schützen möchten. Und hier können sie mehrere offensichtliche Schlussfolgerungen für sich ziehen.

• Erstens: Um Informationen auf einem Smartphone zu schützen, reichen nur drei einfache Mechanismen aus, die bereits im Smartphone integriert sind: ein Passwort auf dem Sperrbildschirm, Datenverschlüsselung und deaktiviertes ADB. Werden sie gemeinsam aktiviert, unterbrechen sie alle Zugriffswege zum Gerät vollständig.
• Zweitens: Eine Diebstahlsicherung auf dem Smartphone zu haben ist eine sehr gute Idee, aber man sollte sich nicht zu 100 % darauf verlassen. Das Beste, was es bieten kann, ist die Möglichkeit, Daten zu löschen, wenn sie von einem weniger klugen Dieb erwischt werden.
• Und drittens das Offensichtlichste: Unmittelbar nach dem Verlust Ihres Smartphones müssen Sie Ihr Google-Passwort widerrufen, Passwörter bei allen Diensten ändern und Ihre SIM-Karte sperren.

Hallo Habr! Ich bin ein junger Entwickler, der sich auf Android-Entwicklung und Informationssicherheit spezialisiert hat. Vor nicht allzu langer Zeit habe ich mich gefragt: Wie speichert Google Chrome gespeicherte Benutzerkennwörter? Bei der Analyse von Informationen aus dem Netzwerk und den Dateien von Chrome selbst (dieser Artikel war besonders informativ) entdeckte ich gewisse Ähnlichkeiten und Unterschiede in der Implementierung des Speicherns von Passwörtern auf verschiedenen Plattformen und schrieb zur Demonstration Anwendungen zum Abrufen von Passwörtern aus der Android-Version von Browser.

Wie es funktioniert?

Wie wir aus verschiedenen Online-Veröffentlichungen zu diesem Thema wissen können, speichert Google Chrome auf dem PC die Passwörter seiner Nutzer im folgenden Verzeichnis:

„C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\“ in der Datei „ Anmeldedaten".

Bei dieser Datei handelt es sich um eine SQLite-Datenbank, und es ist durchaus möglich, sie zu öffnen und anzuzeigen. In der Tabelle Anmeldungen Folgende für uns interessante Bereiche können wir erkennen: origin_url(Webseitenadressse), Benutzername_Wert(Anmeldung), Passwortwert(Passwort). Das Passwort wird als Byte-Array dargestellt und mit einem für jedes System individuellen Maschinenschlüssel verschlüsselt. Mehr erfahren Sie in diesem Artikel. Somit gibt es im Windows-Client eine Art Schutz.

Android

Da ich aber mehr auf Android stehe, ist meine Aufmerksamkeit auf den Android-Browser-Client gelenkt.

Das Paket „öffnen“. Google Chrome (com.android.chrome), stellte ich fest, dass seine Struktur der Struktur des PC-Clients sehr ähnlich ist und es nicht schwierig war, genau dieselbe Datenbank zu finden, die für die Speicherung von Benutzerkennwörtern verantwortlich ist. Der vollständige Pfad zur Datenbank lautet wie folgt: „/data/data/com.android.chrome/app_chrome/Default/Login Data“. Im Allgemeinen ist diese Datenbank ihrer „großen Schwester“ aus der PC-Version sehr ähnlich, mit nur einem, aber sehr wesentlichen Unterschied: Passwörter werden hier im Klartext gespeichert. Es stellt sich die Frage: Ist es möglich, Passwörter programmgesteuert aus der Datenbank zu extrahieren? Die Antwort war ziemlich offensichtlich: Ja, wenn Ihre Anwendung über Root-Rechte verfügt.

Implementierung

Aus Gründen der Übersichtlichkeit wurde beschlossen, ein eigenes Tool zum Abrufen von Passwörtern aus der Browserdatenbank zu entwickeln.

Um seine Arbeit kurz zu beschreiben, funktioniert es wie folgt:

• Ruft root ab.
• Kopiert die Chrome-Datenbank in ein eigenes Verzeichnis.
• Greift mit chmod auf eine Kopie der Datenbank zu.
• Öffnet die Datenbank und ruft Informationen zu Logins und Passwörtern ab.

Die Anwendung wurde auf Google Play veröffentlicht.

Abschluss

Als Schlussfolgerung aus der geleisteten Arbeit können wir sagen, dass das Abrufen der Passwortdatenbank aus dem Browser und das Senden an Ihren Server eine völlig lösbare Aufgabe ist, wenn Sie über Root-Rechte verfügen, und diese Tatsache sollte Sie darüber nachdenken lassen, ob Sie einer Datenbank vertrauen sollten Anwendung mit Superuser-Rechten.

Ich hoffe, dieser Artikel war informativ. Vielen Dank für Ihre Aufmerksamkeit!

Da sich unser Leben rasant digitalisiert, sind wir buchstäblich von einer Vielzahl von Passwörtern umgeben. Und wenn die Zahl der Dienste in die Dutzende geht, ist es einfach unrealistisch, sich die Passwörter für sie zu merken. Natürlich können Sie überall das gleiche Passwort verwenden, aber das ist sehr unsicher. Wenn Sie es verloren haben, können alle Details Ihres Lebens an jemanden gelangen, der nicht sehr freundlich ist. Daher ist es besser, sich überall unterschiedliche Passwörter auszudenken und diese dann an einem abgelegenen Ort aufzuschreiben.

Aber wie wählt man diesen Ort aus? Damit es sowohl bequem als auch zuverlässig ist? Es gibt Hunderte von Optionen. Ich werde Ihnen nicht alle Apps zum Speichern von Passwörtern vorstellen. Es wird zu lange dauern, weil ich viele Dinge ausprobiert habe. Ich erzähle Ihnen mehr über die beiden, für die ich mich schließlich entschieden habe.

Ich nutze die kostenlose App schon seit vielen Jahren auf Android. B-Ordner. Im Gegensatz zu vielen Analoga ist es wirklich kostenlos – es gibt keine Beschränkungen hinsichtlich der Anzahl der Felder in Datensätzen oder der Anzahl der Datensätze selbst. Die Datenbank wird standardmäßig verschlüsselt gespeichert, der Zugriff darauf erfolgt nach Eingabe eines Passwortes oder PIN-Codes (Ihrer Wahl). Gegen einen Aufpreis können Sie die Entsperrung per Fingerabdruck aktivieren (299 Rubel).

Der Entwickler arbeitet seit 2009 an der Anwendung und scheint an alles gedacht zu haben. In den Einstellungen können Sie das Erscheinungsbild der Anwendung und der Karten ändern, die Zeit für das erzwungene Löschen der Zwischenablage nach dem Kopieren des Passworts festlegen, die Selbstzerstörung der Datenbank nach einer bestimmten Anzahl falsch eingegebener Passwörter aktivieren usw . usw. Die Paranoia der Autoren hat den Punkt erreicht, dass man in der Anwendung nicht einmal einen Screenshot machen kann – und das ist übrigens völlig richtig.

Man kann zwei Dinge bemängeln. Erstens ist die Benutzeroberfläche nicht lokalisiert – alles ist auf Englisch. Mit russischen Namen und Passwörtern gibt es keine Probleme und alle wichtigen Aufschriften sind mit klaren Symbolen dupliziert. Aber für manche mag es ein Ärgernis sein.

Zweitens gibt es keine Möglichkeit, die Datenbank automatisch mit Cloud-Speichern zu synchronisieren. Möglicherweise wurde dies auch zur zusätzlichen Sicherheit der Passwortdatenbank gemacht. Letzteres kann jedoch als verschlüsselte Datei gespeichert, an eine beliebige Cloud (Dropbox, OneDrive usw.) gesendet und von dort auf ein anderes Telefon heruntergeladen werden. Der Vorgang dauert buchstäblich eine Minute und alle Ihre bevorzugten Einstellungen werden zusammen mit der Datenbank verschoben.

Daher hätte ich wahrscheinlich nur B-Ordner verwendet, aber das Leben zwang mich, nach einer plattformübergreifenden Lösung zu suchen. Damit Sie auch besonders knifflige Passwörter auf Android, iOS und Ihrem Computer ausspionieren können. Ich habe alles versucht und mich schließlich für … entschieden. Kaspersky Passwort-Manager. Die Anwendung ist standardmäßig ebenfalls kostenlos, aber wenn Sie kein Geld hinzufügen, können Sie nur 15 Passwörter speichern. Wenn Sie mehr wollen, zahlen Sie bitte extra. Sie können die Anwendung nicht für immer kaufen; die Lizenz ist ein Jahr lang gültig. Leider ist dies bei allen guten Multiplattform-Spielen mit Online-Synchronisierung der Fall. Die einzige Frage ist der Preis.

Und so seltsam es auch klingen mag, im Fall von Kaspersky Password Manager kann es ganz anders sein. Ich war dumm, eine Lizenz direkt über den App Store zu kaufen, wo mir 1000 Rubel berechnet wurden. Und auf der Website von Kaspersky Lab kostet das Gleiche nur 450 Rubel. Wenn Sie eine Lizenz für Kaspersky Total Security erworben haben (1.990 Rubel pro Jahr für zwei Computer), ist der Passwort-Manager ein kostenloser Bonus.

Da der Passwort-Manager russische Wurzeln hat, ist die Lokalisierung vollständig vorhanden. Es gibt verschiedene Kartenformate für Websites, Apps und persönliche Daten, außerdem gibt es einen separaten Bereich für Notizen. Natürlich auch verschlüsselt. Mir hat gefallen, dass bei der Eingabe eines Passworts für eine Site das entsprechende Symbol im Menü automatisch aktualisiert wird – so kann man sich bei vielen Passwörtern leichter nicht verirren. Wenn Sie die Site direkt aus der Anwendung öffnen, wird außerdem versucht, das Passwort in das Formular einzufügen. Das klappt nicht immer, weil die Formulare auf so viele verschiedene Arten geschrieben sind. Aber manchmal spart es wirklich Zeit.

Einmal eingegebene Passwörter werden in der Kaspersky-Lab-Cloud gespeichert und sind von jedem autorisierten Gerät aus zugänglich. Zusätzlichen Schutz bietet das Vorhandensein eines Master-Passworts: Das heißt, es reicht nicht aus, Ihre Kontoinformationen einzugeben, Sie benötigen zusätzlich ein weiteres. Melden Sie sich mit einem PIN-Code, einem Fingerabdruck oder – im Fall des iPhone X – per Gesichtsausdruck bei der Anwendung an. Es gibt Versionen für PC und Mac, aber es ist wahrscheinlich einfacher, über einen Browser darauf zuzugreifen.

Der einzige Nachteil des Produkts ist die fehlende Möglichkeit, eine lebenslange Lizenz zu kaufen, es ist damit irgendwie sicherer. Aber es scheint, dass die Zeit für solche Lizenzen knapp wird.

Passen Sie auf Ihre Passwörter auf! Mit ihnen gibt es zu viel zu verlieren. Es genügt, an die Hunderte von Betroffenen zu erinnern, die die Daten ihrer Bitcoin-Wallets vergessen haben :)

Aufrufe: 4.604