一秒就被盗走密码 Chrome的安全措施就是摆设

周末的早上，托尼我正在温暖的小窝里沉眠，享受国庆加班七天乐之后的假期。

突然被一个朋友的电话给炸醒。

醒醒，你号没了 ▼

点开这张图仔细一看，好家伙，居然是一封给我的勒索信件。

还发到我朋友账号上了？

这黑客是?“?来势汹汹?”?啊，不但自称骇入了我的电脑设备，而且我的麦克风啊，键盘，显示器这些硬件有一个算一个，都在他的控制之下。

嗯？？？我难道就要这样轻而易举的社死了吗？

此刻，我脑海中已经过了一遍?“?梦想小镇天使村有人被勒索邮件诈骗?”?的横幅了。

只要花费价值?1250?美刀的比特币，就可以让我洗心革面，重新获得在天使村呼吸的权力。

不然啊，就会让我吃不了后悔药的走。

临走之前还很霸道的留下了一句：

粉身碎骨浑不怕，要留清白在人间！，我这珍藏多年的聊天记录可不能被别人看到。

这么贵的勒索，要不。。。要不还是重装系统吧。

所以话说回来，我到底是怎么中招的呢？死也要死个明白。

那段时间为了帮差评君找资料，好像确实下载了一个不该下的软件，并且运行了这个陌生的程序。

都怪差评君！！！

不过我电脑里头的杀毒软件也很灵光，当场进行一个报错。（?没有截图，建议脑补?）

看着电脑爆出来的风险提示，再傻我也是第一时间反应过来，当场终止了进程?+?斩草除根删除软件?+?摇了一个外援来帮忙一起解决电脑问题。

当时是觉得自己清理得已经足够到位，也就让事情告一段落了。

不过?PS5?玩的不太多?+?工作太忙了，就没放在心上▼

再结合这次被朋友提醒我是邮箱的问题，于是也顺藤摸瓜的找了一下自己的邮箱。

而且仔细一看这份邮件抄送的名单。。。基本都是我之前在这台电脑上登陆过的账号。

这也是为啥我朋友也会收到勒索邮件的原因?▼

除了账号，还有密码。

那既然问题出现在 Chrome 这儿，我就开始对他的密码管理策略开始好奇了。

已知 1 ：我们所有存储的账号都被盗了。

已知 2 ：其中部分被盗的账号在被疯狂登录，也就是代表着密码已经泄露。

所以两者拿来一看，?Chrome?保存在本地的密码不安全，入侵者可以在很短的时间里就盗取到大家的密码？

Chrome 的密码保护机制，的确做的要多简单就有多简单。

或者说，根本不安全。

大家可以回忆一下咱们用 Chrome 的样子，每次自动填充密码的时候，是不是都非常?“?无感?”?的直接把咱们的账号和密码都填进去了。

随便打开某个登录界面的样子?▼

不但不需要任何验证就能知道我们能否登录这些网站，并且直接帮你把密码填充好了。

而且面子上防范轻松也就算了，就连存放我们密码的库里面也没有做多少安全措施。

不过我遭遇的显然不是这种情况，入侵者是用一种更暴力的方法直接获取了我的全部密码。

虽然表面上，Chrome 虽然会对我们的密码进行一个加密。

但是这个加密文件存放的地方吧。。。是一个固定的位置。

这个保险箱的位置就在：C?:?Users\AppDataLocalGoogleChromeUser DataDefaultLogin Data??这个地址中。

找到它之后通过 SQLite3 数据库进行连接，就可以找到我们存储的?“?网址?”?——?“?账号?”?——?“?加密后的密码?”?这三者的对应关系了。

至少到这一步还是有些安全的，因为它毕竟是个保险箱，想打开高低还是需要一把钥匙。

但很可惜，这把钥匙放的地方也非常的?“?专一?”，就藏在我们本地系统的：C?:?Users\AppDataLocalGoogleChromeUser DataLocal State?

当中，一模一样，不带变化的。

用记事本打开这个文件搜索?“ encrypt ”，就能获得这把解开保险库的钥匙了。

谷歌用的加密算法虽然是安全性比较高的 AES，但也架不住它把密文和密钥都放在原地啊。。。

在两者都暴露后，通过?Windows?自己提供的解密函数?CryptUnprotectData?（?dpapi.h??），我们的密码就会瞬间被人看个精光。

（?这里解密调用的是微软自己的?win 32?的?dpapi?函数，需要在本机上进行破译（?意思是别人拷贝走了你这两个文件也没有用?）?）

没错，在?Windows?上破解?Chrome?密码就是这么简单，甚至不需要管理员权限，或许连风险提示都不会有。

早在 2013 年左右就有过回应：“?如果有人入侵了你的系统用户账号，即使再多的安全措施也是无用的。就是如果贼人进入了你的家中，那么你家中所有的物品都是有危险的。”?

乍一听是有一点道理，是不是如果托尼我自己注意安全，不去点开那些来历不明的软件，那不是就万事大吉了嘛？

但这不代表你能把我家里的保险箱和钥匙都摆在大门口吧。

海贼王罗杰在死前都知道把自己的宝藏给藏在?“?伟大航线?”?的尽头

那谷歌作为全球使用人数最多的浏览器，作为全球顶级的搜索引擎开发商，遇到这种用户隐私的问题，不去想着如何保护大家，反而先去责怪用户粗心大意？

虽然我也清楚，当自己家门被攻破后，任何防护方法或许都不能做到?100%?的安全，但同样是做不到绝对的安全，别的厂商也在尝试各种不同的办法来保护大家。

MacOS 选择用钥匙链保护大家的隐私，通过额外的加密来保护用户的密码。

或者你对大厂们的服务不放心的话，也可以选择一些本地的第三方密码本软件，比如付费的 1Password 可以选择本地密码保存，或者自己搭建免费开源的 Bitwarden 服务。

大家各有各自的过法，但都没有和谷歌一样，选择把密码放在最显眼的地方。。。

免责声明：本网转载的文章仅为传播更多信息之目的，本网未独立核实其内容真实性，文章也不代表本网立场。如文章侵犯了你的权利，请联系我们修改或删除。本网提供的内容，包括并不限于财经、房产类信息，仅供参考，不构成投资建议；本网内容，包括并不限于健康、保健信息，亦非专业意见、医疗建议，请另行咨询专业意见。本网联系邮箱：contact@cacnews.ca