shopify analytics ecommerce
tracking
请选择 进入手机版 | 继续访问电脑版

加拿大新闻网

VANCOUVER
加拿大新闻网 首页 新闻 科技 查看内容

一秒就被盗走密码 Chrome的安全措施就是摆设

加新网CACnews.ca| 2022-11-8 14:39 |来自: 差评

64


周末的早上,托尼我正在温暖的小窝里沉眠,享受国庆加班七天乐之后的假期。


突然被一个朋友的电话给炸醒。


醒醒,你号没了 ▼


????啥子情况,让多年没有联系的朋友突然联系我。


点开这张图仔细一看,好家伙,居然是一封给我的勒索信件。


还发到我朋友账号上了?


这黑客是?“?来势汹汹?”?啊,不但自称骇入了我的电脑设备,而且我的麦克风啊,键盘,显示器这些硬件有一个算一个,都在他的控制之下。


非但如此,还有能力把我的各种信息给?“?加点料?”,做成视频,然后发给我的朋友们鉴赏。


嗯???我难道就要这样轻而易举的社死了吗?


此刻,我脑海中已经过了一遍?“?梦想小镇天使村有人被勒索邮件诈骗?”?的横幅了。


?可我托尼绝不对轻易的狗带,这黑客大哥也很温柔,也给了我一个机会从他手中逃离。


只要花费价值?1250?美刀的比特币,就可以让我洗心革面,重新获得在天使村呼吸的权力。


不然啊,就会让我吃不了后悔药的走。


顺便呢,这位大哥为了证明他确实了解我,控制了我的电脑,在邮件里还附带了一张我当时电脑上的截图。


临走之前还很霸道的留下了一句:


?勒索 1250?刀。。。把我卖了都没这么多钱啊。


粉身碎骨浑不怕,要留清白在人间!,我这珍藏多年的聊天记录可不能被别人看到。


这么贵的勒索,要不。。。要不还是重装系统吧。


所以话说回来,我到底是怎么中招的呢?死也要死个明白。


略加思索,决定还是从邮件里提到的那个日子开始回忆。。。


那段时间为了帮差评君找资料,好像确实下载了一个不该下的软件,并且运行了这个陌生的程序。


都怪差评君!!!


不过我电脑里头的杀毒软件也很灵光,当场进行一个报错。(?没有截图,建议脑补?)


看着电脑爆出来的风险提示,再傻我也是第一时间反应过来,当场终止了进程?+?斩草除根删除软件?+?摇了一个外援来帮忙一起解决电脑问题。


有一说一,?360?极速版用起来还行


当时是觉得自己清理得已经足够到位,也就让事情告一段落了。


没想到这几天我的索尼账户一直被人尝试登录。


不过?PS5?玩的不太多?+?工作太忙了,就没放在心上▼


再结合这次被朋友提醒我是邮箱的问题,于是也顺藤摸瓜的找了一下自己的邮箱。


?果然其实我也收到了类似的邮件?—— 只不过被垃圾邮件屏蔽了。


而且仔细一看这份邮件抄送的名单。。。基本都是我之前在这台电脑上登陆过的账号。


这也是为啥我朋友也会收到勒索邮件的原因?▼


?所以。。。结果也是非常清晰 —— 我电脑上 Chrome 登录的账号都被黑客获取了。


除了账号,还有密码。


那既然问题出现在 Chrome 这儿,我就开始对他的密码管理策略开始好奇了。


已知 1 :我们所有存储的账号都被盗了。


已知 2 :其中部分被盗的账号在被疯狂登录,也就是代表着密码已经泄露。


所以两者拿来一看,?Chrome?保存在本地的密码不安全,入侵者可以在很短的时间里就盗取到大家的密码?


?略微研究了一下,发现这事还真没我想象的这么复杂。。。


Chrome 的密码保护机制,的确做的要多简单就有多简单。


或者说,根本不安全。


大家可以回忆一下咱们用 Chrome 的样子,每次自动填充密码的时候,是不是都非常?“?无感?”?的直接把咱们的账号和密码都填进去了。


随便打开某个登录界面的样子?▼


?便利是便利了,但是你说这是不是?“?便利?”?过头了呢?


不但不需要任何验证就能知道我们能否登录这些网站,并且直接帮你把密码填充好了。


而且面子上防范轻松也就算了,就连存放我们密码的库里面也没有做多少安全措施。


?任何一个知道你电脑解锁密码的人,都可以很轻松的获取你浏览器里存储的任何一个密码。


不过我遭遇的显然不是这种情况,入侵者是用一种更暴力的方法直接获取了我的全部密码。


虽然表面上,Chrome 虽然会对我们的密码进行一个加密。


但是这个加密文件存放的地方吧。。。是一个固定的位置。


这个保险箱的位置就在:C?:?Users\AppDataLocalGoogleChromeUser DataDefaultLogin Data??这个地址中。


找到它之后通过 SQLite3 数据库进行连接,就可以找到我们存储的?“?网址?”?——?“?账号?”?——?“?加密后的密码?”?这三者的对应关系了。


至少到这一步还是有些安全的,因为它毕竟是个保险箱,想打开高低还是需要一把钥匙。


但很可惜,这把钥匙放的地方也非常的?“?专一?”,就藏在我们本地系统的:C?:?Users\AppDataLocalGoogleChromeUser DataLocal State?


当中,一模一样,不带变化的。


用记事本打开这个文件搜索?“ encrypt ”,就能获得这把解开保险库的钥匙了。


是不是非常简单。


谷歌用的加密算法虽然是安全性比较高的 AES,但也架不住它把密文和密钥都放在原地啊。。。


在两者都暴露后,通过?Windows?自己提供的解密函数?CryptUnprotectData?(?dpapi.h??),我们的密码就会瞬间被人看个精光。


?托尼也让世超帮忙找了一个脚本体验了一下,我那可怜的密码当场被进行了一个二次破译。。。


(?这里解密调用的是微软自己的?win 32?的?dpapi?函数,需要在本机上进行破译(?意思是别人拷贝走了你这两个文件也没有用?)?)


没错,在?Windows?上破解?Chrome?密码就是这么简单,甚至不需要管理员权限,或许连风险提示都不会有。


?而且,谷歌完全清楚这件事。


早在 2013 年左右就有过回应:“?如果有人入侵了你的系统用户账号,即使再多的安全措施也是无用的。就是如果贼人进入了你的家中,那么你家中所有的物品都是有危险的。”?


乍一听是有一点道理,是不是如果托尼我自己注意安全,不去点开那些来历不明的软件,那不是就万事大吉了嘛?


但仔细一想就会发现谷歌在这儿?“?不作为?”?的甩锅言论有多离谱,我作为用户,确实一不小心把贼人放进了家中。


但这不代表你能把我家里的保险箱和钥匙都摆在大门口吧。


海贼王罗杰在死前都知道把自己的宝藏给藏在?“?伟大航线?”?的尽头


那谷歌作为全球使用人数最多的浏览器,作为全球顶级的搜索引擎开发商,遇到这种用户隐私的问题,不去想着如何保护大家,反而先去责怪用户粗心大意?


?这怎么也说不过去吧。


虽然我也清楚,当自己家门被攻破后,任何防护方法或许都不能做到?100%?的安全,但同样是做不到绝对的安全,别的厂商也在尝试各种不同的办法来保护大家。


MacOS 选择用钥匙链保护大家的隐私,通过额外的加密来保护用户的密码。


?都快死掉的 FireFox 也可以让用户选择用主密码来进行二次防护。


或者你对大厂们的服务不放心的话,也可以选择一些本地的第三方密码本软件,比如付费的 1Password 可以选择本地密码保存,或者自己搭建免费开源的 Bitwarden 服务。


大家各有各自的过法,但都没有和谷歌一样,选择把密码放在最显眼的地方。。。

免责声明:本网转载的文章仅为传播更多信息之目的,本网未独立核实其内容真实性,文章也不代表本网立场。如文章侵犯了你的权利,请联系我们修改或删除。本网提供的内容,包括并不限于财经、房产类信息,仅供参考,不构成投资建议;本网内容,包括并不限于健康、保健信息,亦非专业意见、医疗建议,请另行咨询专业意见。本网联系邮箱:contact@cacnews.ca

64

最新评论

今日推荐

曾志伟再被骂为老不尊?与洪金宝儿媳搂肩

娱乐 3 小时前

阿省突发多次强烈地震,最高6级破纪录

加拿大 3 小时前

一架中国飞温哥华客机不慎滑出跑道,253名乘客有惊无险

温哥华 3 小时前

复旦教授再爆金句:我支持年轻人啃几年老

中国 3 小时前

3场皆败连丢7球 卡塔尔队坐实世界杯最糟东道主

体育 3 小时前

卡塔尔球场输掉底裤的同时,却在场外赚翻

体育 3 小时前

恐怖! 连爆罕见疫情 50感染1死! 6岁孩子丧命! "万年僵尸病毒"复活!

国际 昨天 22:09

劲爆! 哈里王子被曝曾和出轨主妇一夜情 酒吧约上大13岁的辣妈 还想私奔…

国际 昨天 22:09

被绑架50年 女子与亲生父母终于团聚 过程神奇 住处仅相隔10分钟路程

美国 昨天 22:09

冷! 温哥华5级降雪警告 25cm大雪+8级寒风袭大温! 全城做好瘫痪准备! 航班取消!

温哥华 昨天 22:08

  • 24小时新闻排行
  • 7天新闻排行

今日焦点

旗下公众号

关注获得及时、准确、全方位的新闻消息

Copyright © 2012-2020 CACnews.ca All Rights Reserved 版权所有

返回顶部