密码只需一秒就被盗,Chrome的安全措施只是摆设
周末的早晨,我和托尼睡在温暖的小窝里,享受着假期。
我突然被朋友的电话吵醒了。
醒醒,你的号码不见了▼
???发生了什么事,导致我多年没有联系的朋友突然联系我。
单击这张图片并仔细查看。天啊,这居然是一封写给我的勒索信。
你把它发送到我朋友的帐户了吗?
这个黑客太“来势汹汹”了,他不仅声称侵入了我的电脑设备,而且我所有的麦克风、键盘、显示器等硬件都在他的控制之下。
不仅如此,我还有能力在我的各种信息中“添加一些东西”,制作成视频,然后发送给我的朋友欣赏。
嗯???难道我就这么容易死了吗?
此时此刻,我的脑海里已经闪过了“梦小镇天使村有人被勒索邮件诈骗”的横幅。
但我,托尼,永远不会掉以轻心。这位黑客兄弟也很温柔,给了我逃离他的机会。
只要我花掉价值1250美元的比特币,我就可以改变主意,重新获得在天使村呼吸的权利。
不然的话,我就无法吃下后悔药而离开。
对了,这位大哥为了证明他真的认识我,控制了我的电脑,并在邮件中附上了我当时电脑的截图。
临行前,他留下了一句非常霸气的一句话:
勒索1,250把刀。。。就算你把我卖了,你也拿不到那么多钱。
不要害怕被粉身碎骨,你要在这个世界上保持你的纯真!,我珍藏多年的聊天记录是别人看不到的。
如此昂贵的勒索,否则。。。或者干脆重装系统。
话虽如此,我是怎么被骗的呢?就算死了,也必须死得清楚。
经过一番思考,我决定从邮件中提到的那一天开始回忆。。。
那段时间为了帮助差评人找资料,好像下载了一个不该下载的软件,运行了这个陌生的程序。
都是差评人的错!!!
不过我电脑里的杀毒软件也很有效,当场就报错。(没有截图,请大家发挥想象力)
看到电脑爆炸的风险提示,我再傻,也立刻反应过来,当场终止进程,根除问题,删除软件,还请了外援帮忙解决电脑问题。
有一说一,360极速版用起来还可以。
当时我觉得自己已经清理得够多了,所以就让这件事不了了之了。
没想到这几天一直有人试图登录我的索尼账户。
但我不怎么玩PS5,因为我工作太忙了。
我没放在心上▼
再加上我的朋友提醒我问题出在我的电子邮件地址上,所以我顺着线索寻找我自己的电子邮件地址。
果然,我确实收到了一封类似的电子邮件-但它被垃圾邮件阻止了。
并仔细查看这封电子邮件的抄送列表。。。基本上都是我以前在这台电脑上登录过的账号。
这也是我的朋友也收到勒索邮件的原因▼
所以。。。结果也很明显——我电脑上所有的Chrome登录账户都被黑客获取了。
除了账号之外,还有一个密码。
自从Chrome出现问题之后,我就对他的密码管理策略产生了好奇。
已知1:我们所有存储的帐户都已被盗。
已知2:部分被盗账户正在疯狂登录,这意味着密码已经泄露。
所以从两者来看,Chrome本地保存的密码并不安全。入侵者可以在短时间内盗取所有人的密码?
经过一番研究,我发现这件事并没有我想象的那么复杂。。。
Chrome的密码保护机制确实非常简单。
换句话说,根本不安全。
你还记得我们是如何使用Chrome的。每次我们自动填写密码的时候都是直接填写自己的账号和密码,没有任何意义。
随意打开一个登录界面是怎样的▼
方便就是方便,但你是否觉得这太过于“方便”了呢?
我们不仅可以在不进行任何验证的情况下知道是否可以登录这些网站,而且我们还可以直接为您填写密码。
而且,保护表面上很容易并不重要。即使是存储我们密码的数据库也没有太多的安全措施。
任何知道计算机解锁密码的人都可以轻松获取浏览器中存储的任何密码。
然而,对我来说显然不是这样。入侵者采用了更加暴力的方式,直接获取了我的所有密码。
虽然表面上看,Chrome会对我们的密码进行加密。
但是这个加密的文件存储在哪里呢?。。是一个固定位置。
保险箱位于:
此地址中的C:UsersAppDataLocalGoogleChromeUserDataDefaultLoginData。
找到后,通过SQLite3数据库连接,您可以找到我们存储的“网站地址”-“账号”-“加密密码”之间的对应关系。
至少这一步是有些安全的,因为它毕竟是一个保险柜,而且还需要一把钥匙才能打开它。
但不幸的是,这个密钥放置的地方也非常“具体”,隐藏在我们本地系统中:
C:UsersAppDataLocalGoogleChromeUserDataLocalState
其中,一模一样,没有任何变化。
使用记事本打开此文件并搜索“加密”以获取解锁保管库的密钥。
是不是很简单呢?
虽然Google使用的加密算法是AES,相对安全,但它无法将密文和密钥保存到位。。。
两者暴露后,通过Windows本身提供的解密函数CryptUnprotectData(dpapi.h),我们的密码将立即被其他人看到。
托尼还请世超帮忙找了一个脚本来试用,我那可怜的密码当场就被破译了两次。。。
(这里的解密调用了微软自带的win32dpapi函数,需要在本机上解密(也就是说别人复制了你的两个文件就没用了))
没错,在Windows上破解Chrome密码就是这么简单。它甚至不需要管理员权限,甚至可能不会有风险警告。
谷歌知道这一切。
早在2013年左右就有回应:“如果有人入侵你的系统用户账户,无论你采取多少安全措施,都是无用的。也就是说,如果小偷进入你的家,那么你家中的所有物品都会被盗。”有危险。”的。”
乍一看,听起来很有道理。如果我和托尼注意自身安全,不打开那些来历不明的软件,那不就万事大吉了吗?
但如果你仔细想一想,就会发现谷歌在这里“不作为”的指责言论实在令人发指。作为一名用户,我确实不小心让小偷进入了我的家。
但这并不意味着你可以把我所有的保险箱和钥匙放在门口。
海贼王罗杰生前就知道自己将宝藏藏在了“伟大航路”的尽头
那么谷歌作为全球使用量最大的浏览器和全球顶级搜索引擎开发商,在遇到这种用户隐私问题时,不是去思考如何保护所有人,而是首先指责用户不小心?
这根本没有道理。
虽然我也知道,当我的门被闯入时,没有任何保护方法可能是100%安全的,但也不可能绝对安全,其他厂家也在尝试各种方法来保护大家。
MacOS选择通过Keychain来保护每个人的隐私,通过额外的加密来保护用户的密码。
已经快死掉的FireFox也允许用户选择使用主密码进行二级保护。
或者如果你对大厂商的服务没有信心,也可以选择一些本地的第三方密码本软件。例如,付费的1Password可以选择保存本地密码,也可以自己构建免费开源的Bitwarden服务。
每个人都有自己的做法,但没有一个像谷歌一样,选择将密码放在最显眼的地方。。。
相关文章
