Как в браузере узнать пароль: Как посмотреть все свои пароли в браузере Chrome

Содержание

Как посмотреть сохраненные пароли в браузере на Андроид

Сначала мы усиленно расставляем сложные пароли на все хоть сколько-то важные нам программы, разумеется, сохраняя их в самих программах, чтобы не утомлять себя частым набором их. А потом, по прошествии некоторого времени мы успешно забываем большинство из расставленных паролей, бывало? у нас тоже! В этой статье мы расскажем как посмотреть сохраненные пароли в самых популярных приложениях.

Содержание:

Где хранятся сохраненные пароли?

Технологии нового поколения позволяют пользователям не задумываться о сохранении в своей памяти множества личных данных. Достаточно лишь один раз ввести все данные и система автоматически запомнит их внеся в свою базу. Логины и пароли, введенные потребителем будут храниться в базе данных вашего браузера в специальной папке. На устройствах «Android» эту папку можно найти следующим путем: data/system/accounts. В данной папке будет находиться вся информация о данных, которые были сохранены на устройстве пользователя. Доступ к этой папке будет иметь лишь то лицо, которое владеет всей информацией об устройстве. Благодаря этому каждый пользователь сможет не запоминать множество паролей вводя их каждый раз заново, а делать всё это автоматически без дополнительных усилий.

Хранить пароли в браузере безопасно?

Вопреки расхожему мнению хранение паролей в браузере абсолютно безопасно. Благодаря тому, что все данные сохраняются напрямую в устройство пользователя, а не на его аккаунт, практически никто не сможет получить доступ к этим данным. Однако при автоматическом сохранении данных возникает другая угроза. Если вся информация хранятся на одном устройстве, и при этом пользователь потеряет своё устройство и не вспомнит своих паролей, то восстановить их он не сможет. Все из-за того, что информация хранились напрямую на устройстве. Но зато таким образом вся личная информация находятся в полной безопасности. Никто кроме лица которое владеет всей информацией о своем устройстве не сможет узнать лишнюю информацию. Хотя сохраненные логины на некоторых расширениях стороннее лицо все-таки сможет увидеть без проблем.

Google Chrome
Данный браузер идеально подойдет пользователям которые активно используют не только телефон на базе «Android» но и компьютер с одноименным браузером. Благодаря возможности синхронизации аккаунтов, все пароли пользователя смогут дублироваться с компьютера на смартфон и обратно. Сохраненные данные можно найти в папке своего смартфона или же в самом браузере. Для того что бы увидеть всю скрытую информацию в своём браузере достаточно лишь зайти в настройки и нажать на вкладку пароли. Пользователь сразу же сможет увидеть все логины, но для того что бы увидеть пароли ему будет необходимо ввести код доступа своего устройства.

Mobile Safari
Базовый браузер на устройствах IOS и один из самых популярных браузеров на ОС «Android». Для того чтобы узнать все данные на базе этого браузера, нужно в первую очередь открыть настройки браузера Safari, затем открыть раздел с авто заполнением. После этого выбрать подраздел «Сохраненные пароли». Найти нужный сайт, и после его выбора ввести код доступа вашего устройства. После просмотра нужного логина и пароля, выход из данного приложения можно совершить стандартным способом. Все данные автоматически скроются и будут защищены от сторонних взоров.
Яндекс. Браузер

К сожалению, на смартфонах напрямую невозможно посмотреть сохраненные пароли. Однако для удобства пользователя они сохраняются автоматически. Поэтому доступ к сайтам будет также удобен и легкодоступен. Посмотреть зашифрованные данные для этого браузера можно двумя способами. Первый способ — это специальные программы для просмотра паролей, а второй способ это синхронизированный с компьютером аккаунт. Для того что бы получить доступ к паролям в Яндекс Браузере с компьютера, необходимо для начало нажать на вкладку меню, затем нажать на раздел «настройки». После этого необходимо найти и нажать на подраздел «дополнительные настройки». В открывшимся списке необходимо найти раздел «Пароли и формы», а после этого нажать на пункт «Управление паролями». Далее найти нужный логин и нажать на зашифрованный пароль. Без каких-либо проблем пользователь сразу увидит любой нужный ему пароль.

Mozilla Firefox
В одном из самых популярных браузеров в мире, также, как и в других аналогичных приложениях присутствует функция просмотра сохраненного пароля. Для того чтобы увидеть нужный пароль необходимо для начала нажать на вкладку «Меню». Далее нажать на кнопку «Параметры», а затем «Приватность». Далее достаточно нажать на вкладку «Управление логинами», ну а после у пользователя появится целый спектр возможных выборов. Можно увидеть нужный пользователю данные (При этом нет нужды вводить дополнительные данные. Вся нужная информация сразу будет доступна пользователю). Скопировать нужный пользователю пароль, изменить логин или же удалить ненужный логин и пароль. После выхода из этой вкладки все изменения сохраняются автоматически.

Смотри наши инструкции по настройке девасов в ютуб!

Chrome IOS
Полная копия браузера Google Chrome для устройств на ОС «Android». Посмотреть все сохраненные пароли с данного браузера можно двумя способами. Первый способ позволяет узнать все данные тем-же способом что и браузер Safari. Из-за того, что у системы IOS свои установки, все пароли на данной системе сохраняются не только в сам браузер, но и в браузер Safari. При этом абсолютно неважно какой именно это браузер. Все данные все-равно будут перенесены в Safari. Второй способ полностью повторяет способ описанный в методе просмотра паролей для Google Chrome. Пароли также можно смотреть и с других устройств. Если они синхронизированы с помощью одного аккаунта.

Microsoft Edge
Просмотр сохраненных паролей на данном браузере самый простой из всех. Достаточно лишь найти одно русское и три английских слова. Для начала нужно открыть «Меню браузера». Далее нужно нажать на вкладку «Settings». После нее необходимо выбрать подраздел «Basic». Ну и в конце пользователю понадобится лишь вкладка «Save Password». После этого нужно лишь выбрать нужный пароль и начать без каких-либо проблем его просматривать.

UC Browser
В данном браузере не предусмотрен прямой просмотр паролей. Единственная возможность увидеть всю необходимую информацию включая пароли и логины, у пользователя может появиться лишь благодаря сторонним программам. Напрямую посмотреть пароли в данном браузере не предоставляется возможным.

Android Browser
На данный момент времени этот браузер практически не используется. На смену этому браузеру пришел более совершенный и новый Google Chrome. Android Browser проигрывает своему потомку по многим причинам. Одной из основных являлось то, что на нем не было прямого просмотра сохраненных паролей. Единственный вариант как пользователь мог увидеть необходимый ему пароль или логин, это сторонние программы. Которые могли откопать данные в недрах файлов смартфона пользователя.

Opera mini
Как и многие другие браузеры в браузере Opera mini не предусмотрен прямой просмотр сохраненных паролей и логинов. Для того чтобы посмотреть пароль в браузере Opera mini установленным на система «Android» пользователю понадобится специальная утилита которая поможет найти необходимые данные. К сожалению, это единственный способ как пользователи «Android» смогут узнать свой пароль на базе браузера Opera mini.

Полезный совет: Можно ввести новый пароль поверх старого. После этого данные автоматически замениться на новые. Если других методов не осталось, то таким методом можно удалить старый пароль из базы данных своего телефона.

Приложения для просмотра паролей в браузере

Задаваясь вопросом как посмотреть сохраненные пароли, ответ стоит искать на площадке «Play Market». На данной площадке существует множество приложений для просмотра паролей, сохраненных в папках браузера. Разумеется, пароли многих браузеров можно посмотреть напрямую в этих же браузерах. Однако такая роскошь доступна далеко не всем браузерам. Многие из них не поддерживают такую функцию и нуждаются в стороннем ПО. Самыми популярными и ходовыми приложениями для просмотра паролей браузеров являются: «Root Manager» и «EditThisCookie». С помощью данных приложений можно без проблем найти любой пароль, который был когда-либо сохранен в любом из существующих браузеров.
Как удалить сохраненные пароли

Могут возникнуть ситуации, когда пароль необходимо удалить с устройства. Самое простое-это использовать приложения вроде «Root Manager». С помощью таких приложения можно удалить любой сохраненный пароль. Но как убрать сохраненный пароль не скачивая сторонние приложения. Тут есть два основных метода. Первый это использовать тот браузер, который позволяет удалять сохраненные пароли. Такие как Google Chrome или Mozilla Firefox подойдут для этого идеально.

Где узнать свои пароли от сайтов?

При каждом новом логине браузер предлагает сохранить пароль. Но куда он его сохраняет? Не так давно мы писали о менеджерах паролей, и если у вас есть один из них, вы точно знаете, где искать все свои реквизиты. Теперь подскажем, где узнать свои пароли от сайтов, если у вас нет специфических приложений для их хранения.

Firefox

«Огнелис» предлагает сохранить пароль и логин при входе в систему на каждом новом сайте. Для этого в углу адресной строки появляется значок ключа, по которому открывается панель запроса на сохранение пароля.

Пароли в Firefox сохраняются в разделе меню Настройки > Приватность и защита > Формы и пароли. Они доступны по кнопке Сохраненные логины.

Для того, чтобы посмотреть свои пароли в Firefox, в отобразившемся окне нужно нажать на кнопку Отобразить пароли.
Для того, чтобы произвести действие над паролем (например, копировать), нужно выделить строку в списке сохраненных логинов и щелкнуть правой кнопкой мыши.
Скопировать все пароли в Firefox, начиная с версии 57, нельзя. Ранее можно было воспользоваться расширением Password Exporter.
Удалить отдельный пароль или все пароли можно кнопками Удалить и Удалить все.

Firefox умеет синхронизировать пароли (а также историю, закладки и многое другое) между браузерами на разных устройствах. Для этого нужно зарегистрировать учетную запись Firefox Sync. Сделать это можно по ссылке: https://accounts.firefox.com/

После этого перейдите в Firefox на каждом вашем устройстве в раздел меню Настройки > Аккаунт Firefox, нажмите на кнопку Войти и войдите в учетную запись Firefox Sync (потребуется подтверждение через электронную почту).

После этого на всех ваших устройствах появится единый список сохраненных логинов и паролей. Вы можете настроить, что еще, помимо паролей, нужно синхронизировать, на той же вкладке Аккаунт Firefox.

Chrome

Браузер от Google также предлагает сохранить пароль при каждом новом входе на сайт. В правом углу адресной строки возникает значок ключа, по нажатию на который всплывает панель запроса на сохранение.

Где узнать свои пароли от сайтов в Chrome? Они хранятся в разделе Текущий пользователь > Пароли.

Для того чтобы посмотреть пароль для определенного сайта, нажмите на иконку глаза в строке с паролем.
Для того чтобы удалить пароль для определенного сайта, нажмите на иконку с тремя точками в строке с паролем и выберите Удалить.
В Chrome есть возможность экспортировать пароли. Для этого нажмите на иконку с тремя точками над списком паролей и выберите Экспорт паролей. Файл с паролями будет сохранен в формате .csv.

Chrome умеет синхронизировать пароли еще удобнее, чем Firefox. Они сохраняются в вашем аккаунте Google по адресу:https://accounts.google.com.

Просто войдите в свою учетную запись Google на всех устройствах, где вы используете Chrome (Текущий пользователь > Войти в Chrome в десктопной версии). На всех устройствах появится единый список паролей из вашего Google-аккаунта.

Safari

Браузер Safari на iPhone, iPad и Mac сохраняет пароли по желанию пользователя в связке ключей iCloud, чтобы не нужно было снова вводить их вручную. Благодаря этому пароли автоматически синхронизируются между всеми устройствами Apple.

Для того чтобы посмотреть пароли, нужно сделать следующее:

На iPhone и iPad: зайдите в Настройки Safari > Пароли и автозаполнение > Сохраненные пароли. Вы увидите список всех сайтов, для которых вы сохраняли пароли. Для того чтобы посмотреть пароль, выберите сайт. Появится окно ввода кода доступа (он совпадает с вашим кодом доступа для разблокировки устройства). Введите его и устройство покажет ваш пароль.
На Мас: зайдите в Safari > Настройки… > Пароли. Дважды кликните на скрытом пароле. Введите код доступа (совпадает с вашим паролем учетной записи на Mac). Пароль будет отображен.

Microsoft Edge

Встроенный браузер Windows 10 при посещении веб-сайта, который требует ввести учетные данные, по умолчанию спрашивает, хотите ли вы, чтобы он запомнил имя пользователя и пароль.

Для того чтобы получить доступ к своим паролям в Edge, перейдите в Параметры > Посмотреть дополнительные параметры > Управление паролями.
Отобразится список всех ваших сохраненных логинов. Нажав на любой из них, вы можете изменить логин или пароль для выбранного сайта.

Таким образом вы можете только изменить, но не посмотреть пароль. Для просмотра сохраненных паролей придется в Windows зайти в Панель управления > Диспетчер учётных данных > Учётные данные для Интернета. Здесь хранятся все сохраненные пароли для Edge и Internet Explorer.

Нажмите на ссылку Показать рядом с паролем и введите во всплывающем окне ваш пароль от учетной записи Windows. Пароль будет отображен.

Читайте также:

Лучшие приложения для безопасного хранения паролей онлайн
Выбираем лучший менеджер паролей
Создаем хранилище паролей из обычной USB-флешки

Фото: support.apple.com, support.microsoft.com, авторские, Pixabay

Извлечение учетных данных в открытом виде непосредственно из памяти Chromium

Это исследование было начато случайно. После «мини-дампа» всех активных процессов Chrome.exe для другого исследовательского проекта я решил посмотреть, не появляется ли в каком-нибудь из этих дампов пароль, который я недавно набрал в браузере. Я был удивлен, увидев, что пароль хранится в текстовом формате в нескольких разных местах в памяти двух из этих процессов.

Я не должен был удивляться, поскольку о подобных проблемах уже сообщалось ранее (например, в сообщении в блоге Сатьяма Сингха от 2015 г. ) но я не знал об этих предыдущих отчетах в то время.

Я решил посмотреть глубже и посмотреть, какие типы конфиденциальных данных хранятся в текстовом формате и можно ли эффективно (в разумные сроки) извлечь эту информацию непосредственно из памяти браузера. Результаты были неожиданными (для меня) и весьма тревожными!

турецких лир; DR

Учетные данные (URL/имя пользователя/пароль) хранятся в памяти Chrome в текстовом формате. Помимо данных, которые динамически вводятся при входе в определенные веб-приложения, злоумышленник может заставить браузер загрузить в память все пароли, хранящиеся в менеджере паролей (файл «Данные для входа»).
Данные файлов cookie (значение файлов cookie + свойства) хранятся в памяти Chrome в текстовом формате (когда соответствующее приложение активно). Это включает в себя конфиденциальные файлы cookie сеанса.
Эта информация может быть извлечена эффективно с помощью стандартного (без повышенных прав) процесса, работающего на локальном компьютере и выполняющего прямой доступ к памяти Chrome (используя API OpenProcess + ReadProcessMemory ).
Извлеченные данные могут быть использованы для захвата учетных записей пользователей, даже если они защищены механизмом MFA (с использованием данных «сессионных файлов cookie»).
Пример перехвата сеанса для Gmail, OneDrive и GitHub подвергся «POC-редактированию».
Аналогичные недостатки были замечены в браузере Microsoft Edge (и, предположительно, будут обнаружены и в других браузерах, основанных на движке Chromium).
В этом блоге описывается атака с прямым доступом к памяти в браузере. Существуют и другие опубликованные методы кражи этих конфиденциальных данных. В моем следующем сообщении в блоге будет представлено более широкое описание известных методов атаки «кражи учетных данных из браузеров» и обсуждены возможные способы смягчения последствий для всех из них.
Почему это серьезная проблема : Если принять парадигму « предположить нарушение» , то [все] недостатки в том, как браузеры на основе Chromium обрабатывают конфиденциальные учетные данные, следует рассматривать как серьезную угрозу безопасности. Уменьшение должно устранять все эти недостатки.
«Вместе лучше:» Мы поделились результатами этого исследования с CrowdStrike. Это сотрудничество помогло улучшить продукты защиты конечных точек обеих компаний.

Что для вас значит «Private

» ? Первый взгляд внутрь памяти Chrome

Инструмент Process Hacker (автор Wen Jia Liu) оказался очень полезным в этом исследовании. Если вы подозреваете, что в памяти процесса хранится определенная строка, быстрый способ найти ее:

Откройте этот процесс в ProcessHacker.exe
Выберите опцию «Память»
Активировать подопцию «Строки»
Выберите опцию «Фильтр» и введите искомую строку в кадре «содержит…»

Вот пример вывода, сгенерированного при поиске известного пароля (не волнуйтесь, я его изменил):

Рисунок № 01: Известный пароль, идентифицированный в памяти Chrome с помощью ProcessHacker.exe

Если вы вернетесь к показанной структуре памяти (когда вы выбрали опцию «Память»), вы обнаружите, что эта строка находится в разделе памяти типа Private :

Рисунок № 02: Расположение блока памяти, где хранится известный пароль в памяти Chrome

И более глубокий поиск в этой памяти чанк, пароль хранится внутри секции памяти типа Private: Commit :

Рисунок №03: Поиск определенного раздела памяти, в котором хранится известный пароль в памяти Chrome

Вопрос: Что для вас означает « Private» ?
Согласно MSDN, Private memory (MEMORY_BASIC_INFORMATION Type=MEM_PRIVATE) означает:

Рисунок №04: Определение свойства памяти MEM_PRIVATE в MSDN

Можно подумать, что данные, хранящиеся в таких страницах памяти, недоступны никакому другому процессу. Удивительно, но такие страницы не могут быть частью «общей памяти», но другие процессы без проблем читают данные в них (через ReadProcessMemory API).

Вы уже видели доказательство такого поведения: вышеописанный ProcessHacker.exe запускается как стандартный процесс и не имеет проблем с доступом к этим данным!

Если бы эти страницы были действительно частными, описанный здесь вектор атаки был бы невозможен. Интересно, думали ли создатели Chromium (в какой-то момент), что конфиденциальные данные в безопасности при хранении в Private 9?память 0027.

Иголка в стоге сена? Более глубокий взгляд на память Chrome

Найти известную строку в памяти браузера, конечно, не проблема. Как насчет поиска неизвестных строк? Я решил попытаться найти конфиденциальные данные, только заглянув в память процесса (не пытаясь анализировать открытый код программы).

Структура памяти Chromium выглядит так, как будто она была разработана как «стог сена», что затрудняет поиск и «осмысление» хранимых данных (особенно конфиденциальных строк, таких как пароли и значения файлов cookie). Я также столкнулся с различными ловушками, которые выглядели так, как будто они были созданы намеренно для генерации ложноположительных идентификаций паролей в открытом виде. Среди трудностей было:

Относительно большое количество процессов браузера (например, chrome.exe).
Каждому процессу выделено большое количество виртуальной памяти (некоторые из них > 230 ГБ).
Память каждого процесса состоит из множества (иногда сотен) «разрозненных» небольших выделенных разделов памяти, разделенных «зарезервированными» разделами.
Большие объемы памяти, «составленные» разделы, которые включают множество непересекающихся разделов, как описано выше, которые фактически «пусты» (не «на самом деле» используются).
Строки (подстроки реальных строк), которые выглядят как пароли или значения файлов cookie (преднамеренно или нет).
Разброс элементов, принадлежащих одной логической «записи» (например, URL + имя пользователя + пароль) по удаленным ячейкам памяти.

Возможно, все это выглядело как попытки сокрытия («обфускации»), а на самом деле являлось результатом нормальной работы. Как упоминалось выше, я не смотрел код, но отдаю им должное за попытку скрыть конфиденциальные данные.

Типы учетных данных в открытом виде, извлеченные из памяти Chrome

Оказывается, что эффективное извлечение данных учетных данных в открытом виде из памяти браузера может быть достигнуто довольно легко с помощью стандартного непривилегированного процесса. Под эффективным я подразумеваю:

Он использует разумное количество ресурсов компьютера (мощность процессора, память).
Выполнение завершается в разумные сроки.
«Истинно положительные» выводы не полностью заглушаются ложноположительными элементами.

Примечание : Поскольку мы подходим к разделам, описывающим программы POC, я знаю, что большинство читателей ожидают технических подробностей и фрагментов исходного кода важнейших функций. Эта информация не будет раскрыта по причинам, изложенным в заключительных разделах этого сообщения в блоге. Программы POC были разработаны для извлечения следующих типов информации:

а) Имя пользователя + пароль, используемые при входе в целевое веб-приложение

Программа ожидает, пока пользователь войдет в определенное веб-приложение (например, Gmail, OneDrive, GitHub и т. д.), а затем анализирует захваченные снимки памяти, чтобы определить имя пользователя и пароль, используемые для входа в приложение.

Это немного похоже на то, чего может достичь эффективный кейлоггер, с той важной разницей, что ранее сохраненные пароли (например, в инструменте диспетчера паролей браузера), которые полностью обходят кейлоггер, который не был запущен, когда они были изначально определены, будут обнаружены нашей программой.

Программа анализирует различия между снимками, сделанными до и сразу после входа в систему, и ищет новые строки, которые появляются только на снимках «после» и выглядят «как» потенциальные строки имени пользователя и пароля.

Примечание: Это была самая сложная программа POC, разработанная в этом исследовании, и она дала довольно много ложноположительных результатов, поскольку в снимке памяти «после» появляется довольно много новых строк.
Возможна фильтрация этих ложноположительных случаев (например, путем определения общих «слов», которые появляются в процессе входа в систему), и ее можно постоянно улучшать, если вы хотите приложить усилия. По иронии судьбы, чем надежнее пароль, тем легче его отделить от «шумовых» ложноположительных случаев (например, строка из 10 символов, состоящая из строчных и прописных букв, цифр и специальных знаков, с большей вероятностью будет паролем, чем строка из семи символов, состоящая только из символов нижнего регистра).

Демо 0-DynamicGmailPasswordCatch

б) URL + имя пользователя + пароль автоматически загружаются в память при запуске браузера запущен. Хотя не все записи из «Данных для входа» обязательно загружаются, загружаются самые последние использованные (и самые интересные?).

Пароли в БД «Логин данных» шифруются DPAPI, но при «рассыпании» в память сохраняются в открытом виде.

В отличие от предыдущего случая («а» выше), здесь достаточно проанализировать один набор снапшотов, так как загруженные учетные данные статически остаются в памяти.

Мы разработали эффективную программу POC, которая извлекает эти данные из памяти. Может быть сгенерировано небольшое количество ложноположительных элементов. Опять же, алгоритм, который отфильтровывает ложноположительные случаи, можно значительно и постоянно улучшать.

Demo 1-AutoLoadedPasswords

c) Все записи URL + имя пользователя + пароль хранятся в данных для входа

Можно заставить функцию диспетчера паролей браузера загружать все сохраненные записи в память. Разработанная нами программа POC может извлекать все загруженные записи. Конфиденциальные данные в этом случае организованы в структуру, которую легко распознать. Таким образом, программа обладает высокой степенью достоверности извлеченных данных и в большинстве случаев практически не содержит ложноположительных записей.

Кредит: Анатолий Кардаш, старший директор отдела исследований и разработок CyberArk, обратил мое внимание на то, что все сохраненные записи паролей загружаются в память Chrome в этом случае. Он также помог мне обнаружить и проанализировать различные схемы памяти Chromium.

Demo 2-AllSavedPasswords

d) Все файлы cookie, принадлежащие определенному веб-приложению (включая сеансовые файлы cookie)

Программа ожидает, пока пользователь войдет в определенное приложение (например, Gmail, OneDrive, GitHub и т. д. ). Когда сеанс приложения активен, программа может извлечь из памяти Chrome все файлы cookie, принадлежащие этому сеансу. Эти украденные файлы cookie могут быть загружены в браузер на другой машине, и сессия может быть украдена (в обход любых механизмов MFA).

Когда украденные файлы cookie используются для перехвата сеанса, обычные приложения (например, Gmail) не распознают, что соединение установлено с нового устройства или из нового местоположения. Это связано с тем, что процесс входа полностью игнорируется. Основываясь на содержимом файлов cookie, приложение предполагает, что это продолжение ранее аутентифицированного сеанса.

Важно отметить, что некоторые приложения призывают своих пользователей не выходить из приложения. Сеансовые файлы cookie Gmail, например, имеют срок действия два года с момента их первого создания. Точно так же Microsoft OneDrive недавно начал предлагать своим веб-пользователям не выходить из сеанса. В этих случаях злоумышленник, крадущий файлы cookie сеанса, может «делить» учетную запись с реальным владельцем на очень долгое время.

Как и в случае «c» выше, программа атаки имеет высокую степень уверенности в своих выводах, поэтому ложноположительные случаи чрезвычайно редки.

Demo 3-GmailSessionHijacking

Demo 4-OneDriveSessionHijacking

Ответственное раскрытие информации и ответ поставщика

Я сообщил об этой проблеме в Google 29 июля 2021 г.:

Рисунок № 05: Прием ответственного раскрытия информации подтверждено Google

В отчет включено подробное POC перехвата сеанса Gmail, включая исходный код программы, которая извлекает файлы cookie из памяти Chrome.

Ответ (WontFix) от Chromium.org вернулся очень быстро:

Рисунок № 06: Chromium.org закрывает проблему со статусом WontFix Уязвимости типа «предположим нарушение».

И 14 недель спустя Chromium обнародовал мой отчет:

Рисунок № 07: Google публикует подробности проблемы

Итак, подводя итог ответственному раскрытию информации: локальные атаки, так как «для Chrome (или любое приложение ) для защиты от злоумышленника, которому удалось войти в ваше устройство под вашим именем» (здесь). Хотя это утверждение, вероятно, верно в целом (особенно если вы предполагаете, что злоумышленник может получить права администратора), я считаю, что украсть конфиденциальные учетные данные не должно быть так просто, как сегодня. Поэтому, как упоминалось выше, в моем следующем сообщении в блоге будут предложены несколько методов смягчения последствий, которые усложнят выполнение атаки.

Со временем я заметил некоторые изменения, которые могли быть попытками «смягчения»:

Примерно через месяц после ответственного раскрытия информации моей программе не удалось извлечь данные из файлов cookie. Оказалось, что общая схема памяти была изменена (как в Chrome, так и в Edge).
Я обобщил свою программу, чтобы учесть это и подобные изменения. Где-то через два месяца опять не получилось. На этот раз расположение «конфиденциальных» данных было изменено (опять же, для Chrome и Edge одновременно).
Я также обнаружил (после многих месяцев успешных исследований кражи файлов cookie), что внезапно для некоторых файлов cookie (выбранных случайным образом?) элементы определения файла cookie были разбросаны по памяти, как элементы учетных данных для входа.

Независимо от того, были ли это конкретные попытки смягчения или часть непрерывной процедуры «давайте-усложним-доступ-к-памяти», они довольно слабы, поскольку довольно просто обобщить программу доступа для этих типов модификаций.

Почему демонстрационные видеоролики (без технических подробностей о программах POC)

Первоначальная программа POC была разработана для версии 91.0.4472.164 Chrome:

Рисунок № 08: Версия Chrome для исходных программ POC

Программы POC в демонстрационных видеороликах получают доступ к версии 96. 0.4664.45 Chrome:

Рисунок №09: Версия Chrome для программ POC в демонстрационных видеороликах

Как упоминалось выше, изменения в структуре памяти, а также в способе хранения значений файлов cookie в памяти были обнаружены с мы ответственно раскрыли проблему. Однако эти модификации носили очень общий характер и не усложняли «кражу учетных данных».

Целью этого сообщения в блоге было привлечь внимание к этой проблеме и помочь организациям улучшить свою безопасность в отношении этой и подобных уязвимостей браузера. Поскольку устранение уязвимости не планируется, совместное использование POC или исходного кода не будет способствовать достижению этой цели, а вместо этого может потенциально причинить вред или повысить связанные с этим угрозы. Поэтому, помня об ответственности перед сообществом, мы решили не публиковать POC.

Метод защиты от этой атаки, о котором я расскажу в следующем сообщении в блоге, является общим и защищает от широкого спектра методов атак, включая те, которые используются в программах POC, которые извлекают данные непосредственно из памяти Chrome.

Однако CyberArk может передавать POC-программы (включая исходный код) другим поставщикам средств безопасности и специалистам по поддержке браузеров, которые заинтересованы в обновлении своей безопасности учетных данных, обрабатываемых браузерами на основе Chromium. В этом духе это исследование и полная информация о POC были переданы CrowdStrike, а подробности доступны в блоге CrowdStrike.

Примечание автора. Спасибо Эммануэлю Уаннуну из команды CyberArk Labs за поддержку этого исследования.

Извлечение и использование сохраненных паролей из веб-браузеров

Взлом паролей становится все сложнее с каждым вторым обновлением популярного программного обеспечения. Microsoft регулярно увеличивает количество итераций хеширования, чтобы сделать защиту документов Office согласованной с текущим оборудованием. Apple использует чрезмерную защиту резервных копий iTunes, начиная с iOS 10.1, благодаря чему атаки грубой силы остались в прошлом. VeraCrypt и BitLocker были защищены с самого начала. Однако не все потеряно, если принять во внимание человеческую природу.

Прошло ровно 10 лет с тех пор, как мы выпустили первую версию нашего инструмента для извлечения паролей Elcomsoft Internet Password Breaker. Инструмент (первоначально называвшийся Advanced Internet Explorer Password Recovery) изначально был разработан для раскрытия сохраненных учетных данных для аутентификации (логинов и паролей) из Internet Explorer, который в то время был доминирующим веб-браузером. Позже мы добавили Outlook и Outlook Express, хотя и в другом инструменте. 1 июля 2010 года мы интегрировали эти инструменты в то, что сегодня известно как Elcomsoft Internet Password Breaker. За последние несколько лет растущий спрос со стороны криминалистических лабораторий заставил нас добавить функцию, позволяющую создать полный отфильтрованный словарь всех паролей пользователей, которые они хранят во всех веб-браузерах, которые они установили и использовали. Это единственный случай, когда нам удалось реализовать пресловутое решение «одной кнопки», так как нажатие на кнопку «Экспорт» сразу создает текстовый файл с паролями, который вы можете сразу же использовать в инструменте восстановления пароля.

Сегодня Elcomsoft Internet Password Breaker 3.20 может мгновенно извлекать сохраненные пароли из множества популярных браузеров и почтовых клиентов. Сюда входят последние версии Google Chrome, Mozilla Firefox, обе версии Microsoft Edge (универсальная и на базе Chromium), а также Microsoft Internet Explorer, Opera. Также поддерживаются популярные почтовые клиенты, такие как Windows Mail (Windows 10), Microsoft Outlook и Thunderbird. И последнее, но не менее важное: мы добавили поддержку Yandex Browse 9.0027 р, второй по популярности настольный веб-браузер в России, и два китайских: QQ Browser и UC Browser .

Зачем нужен список паролей, лишенный других учетных данных для входа?

Различные исследования показывают, что средний пользователь Интернета имеет более 30 онлайн-аккаунтов. Это число растет из года в год. Запоминание нескольких десятков надежных уникальных паролей (как того требует политика паролей каждого сайта) становится все труднее. На самом деле у пользователя есть два варианта: либо использовать один и тот же пароль снова и снова (мы писали об этом в статье «Как взломать 70% паролей за считанные минуты»), либо использовать какой-то менеджер паролей.

На рынке нет недостатка в менеджерах паролей. LastPass, 1Password, Dashline, Keepass, Bitwarden и многие другие существуют уже много лет. У некоторых из этих менеджеров паролей есть свои проблемы, поэтому многие пользователи вместо этого доверяют свои пароли своему веб-браузеру. Веб-браузеры удобны, часто предлагая удобную облачную синхронизацию сохраненных паролей между устройствами. Более того, мы еще не видели, чтобы веб-браузер запрашивал у пользователя какой-либо мастер-пароль.

Означает ли это, что пароли, хранящиеся в веб-браузерах, не защищены или защищены плохо? Прочтите Извлечение паролей из Microsoft Edge Chromium, чтобы узнать о механизмах защиты, которые производители используют для защиты паролей. Одним словом, пароли пользователя защищены шифрованием AES, а ключ шифрования защищен Windows Data Protection API (DPAPI), который, в свою очередь, требует учетных данных пользователя для разблокировки и расшифровки защищенного хранилища.

Тем не менее, даже пароли, защищенные с помощью DPAPI, могут быть извлечены и использованы для атаки на файлы, документы и другие учетные записи пользователя.

Кстати, Google синхронизирует пароли Chrome с облаком. Вы можете извлечь пароли Chrome из облачных сервисов Google с помощью Elcomsoft Cloud Explorer.

Apple также синхронизирует пароли с облаком. Вы можете извлечь пароли Safari из iCloud Drive с помощью Elcomsoft Phone Breaker.

Чтобы извлечь пароли из веб-браузеров, таких как Google Chrome, Microsoft Edge или Opera, вы должны иметь возможность аутентифицироваться в учетной записи Windows пользователя (с его логином и паролем, учетными данными учетной записи Microsoft, PIN-кодом или Windows Hello) или захватить уже аутентифицированный сеанс. При анализе криминалистического образа диска без знания пароля пользователя доступ к кэшированным паролям Chrome/Edge/Opera не будет предоставлен из-за защиты DPAPI, но Mozilla Firefox не имеет такой защиты.