Как вам наверняка должно быть известно, одной из вещей, которую стоковый веб-браузер Google умеет синхронизировать между всеми вашим устройствами – это данные (логин и пароль) для входа на различные сайты.
В то время, как во многих случаях эта опция может оказаться полезной и удобной, большинство из нес не хотели бы доверять компании Google пароли для входа в интернет-банкинг или торговые площадки, такие как eBay или Aliexpress. А что делать тем, кто случайно или автоматически нажал на «Сохранить пароль» при входе на один из таких сайтов?
Не беда, в любой момент вы можете удалить сохраненные ранее в браузере Chrome для Android свои учетные данные для того или иного сайта.
Для этого вам нужно всего лишь перейти в меню настроек браузера и кликнуть по пункту «Сохранять пароли», после чего вы увидите следующее окно со списком сайтов, для которых вы ранее сохранили пароль входа, а также кнопкой включения и выключения этой опции для всех сайтов, которые бы будете посещать в дальнейшем:
Кликнув по конкретному сайту, вы откроете окно следующего вида, на котором можно удалить ваши учетные данные:
Кстати, посмотреть или отредактировать пароли вы можете только в настольной версии браузера, в Chrome для Android эта опция недоступна.
Кроме того, как вы уже, наверное заметили на скриншоте выше, в пункте меню «Сохранять пароли», вы также увидите и перечень сайтов, пароли для которых не сохраняются. Таким образом, если вы хотели бы включить эту опцию для одного из них, вам нужно выбрать его из списка и удалить в открывшемся окне.
Напомню, что хранить трудно запоминаемые пароли для доступа к конфиденциальным данным лучше всего в специальном приложении типа Android. Keeper , а еще лучше - пользоваться для этого генератором паролей
Буквально утром опубликовал статью про хранение паролей в телефоне с Android системой, как в личку посыпались вопросы о том, можно ли использовать еще какие-либо приложения, пусть и с возможностями попроще. В итоге решился на написание более подробного обзора, в котором раскрою как можно шире возможности Android системы в сохранении паролей и логинов, но при этом, чтобы все происходило безопасно и с защитой от взломов и вирусных атак. Но сначала пару слов скажу про Android.
Аннотация. С чего все началось?
История вопроса началась еще в самом начале долгой и насыщенной жизни Android, когда сначала она была лишь виртуальной платформой для разработчиков и только с появлением смартфона T-Mobile G1 ака HTC Dream появилась в реальном мире. Постоянно претерпевая множество изменений, Android получал более качественный код и большие возможности в работе. Но вместе с тем не только качество системы обещает надежность, но и установленные и используемые приложения. И если Вы успели заметить, то сама система популяризировалась не только среди простых обывателей, но и среди производителей мобильных устройств, которые крайне быстро выросли до смартфонов бизнесс-класса.
Что значит аппарат бизнес-класса? Это в первую очередь возможность использовать мобильный интернет с максимальным удобством и скоростью, работа с интернет-сервисами (при этом не только Google-сервисами, которые предлагаются по умолчанию). Вот логически мы и пришли к тому, что все это приводит к вынужденному хранению множеству конфиденциальных данных: логинов, паролей, пин-кодов, номеров банковских карт. Сначала я даже не задумывался об использовании специальных приложений, а сохранял пароли и тому подобное в отдельном файле записной книжки AK Notepad. Естественно, что это было не правильно и являлось наиболее кривым способом, создавая отличную уязвимость для моей личной информации. Чтобы Вы не делали того, что я делал раньше, я предлагаю воспользоваться следующими советами, где я подробно рассмотрел несколько отличных приложений, которые хранят пароли/логины и заодно шифруют информацию, которая не должна стать достоянием посторонних лиц.
Вот теперь пора перейти непосредственно к обзору тех приложений, что я бы сам лично использовал на своем Android-смартфоне. Список программок следующий:
- B-Folders Secure Organizer;
- Handy Safe Pro;
- KeePassDroid;
- OI Safe;
- Password Master.
Как очевидно я представил приложения по алфавитному приоритету, а не по личным претензиям к функциональности.
1. B-Folders Secure Organizer.
Разработчик : JointLogic Ltd.
Версия приложения : 3.0.6.
Требования : Android 1.6+
Очевидно, что уже есть некий стандарт при создании приложений для хранений конфиденциальной информации. Именно B-Folders Secure Organizer становится стандартным представителем этого класса приложений, потому сразу же после первого запуска появляется на экране почти знакомое окно с созданием отдельной базы данных для паролей:
Кстати, не забудьте указать удобное место для сохранения создаваемой базы данных. Можно выбрать как внутреннюю память, так и SDCard. Из личного опыта могу посоветовать сохранять ее на внешнюю карту, на случай если придется сбрасывать систему на заводские настройки с потерей всего, что есть во внутренней памяти.
В этом же окне можно указать время для таймаута, после которого база данных автоматически закроется, указать пароль к ней, который нужен для доступа к данным.
Для меня главным минусом стал основной экран приложения, который почему-то становится доступным после перезапуска. Возможно, это произошло из-за того, что у меня прошивка не доработана на смартфоне.
Если Вам интересны основные возможности приложения, то они появляются текстом во всплывающем окне B-Folders Secure Organizer:
Вот, к примеру, обнаружилось, что эта программа может создавать базу данных непосредственно на карте памяти, а затем синхронизировать ее с ПК посредством USB шнурка, хотя до этого можно было лишь работать «по воздуху». При частом использовании B-Folders Secure Organizer становится слишком навязчивым подобное окошко, информацию которого можно было бы легко добавлять в раздел справки и где каждый при желании ознакомиться с ней. А то получается, что пользователя чуть ли не насильно заставляют читать лишнюю информацию.
Теперь непосредственно о создании БД. Создать новый элемент достаточно просто – нажмите на кнопку «New Item» и программа предоставит вот такой выбор:
Кстати, B-Folders Secure Organizer позволяет создать подэлементы внутри самих элементов и сохранять в них целые вложенные папки. То есть пользователь получает наибольшую свободу в действии с элементами базы данных.
Заметил интересную особенность в работе с приложением – после того как B-Folders Secure Organizer почему-то закрывает базу данных с паролями после перехода по кнопке «Назад» или «Home», то приходится постоянно вводить мастер-пароль от этой самой базы. То есть при переходе от приложения к мобильному браузеру и назад придется постоянно вводить этот пароль. Естественно, что это очень неудобно.
Особо сильная сторона приложения – функция синхронизация базы данных с компьютером, но пугает другое – приложение почему-то требует при установке постоянного доступа в интернет, что подозрительно для программы, которая хранит конфиденциальные данные. Но в целом приложение вполне рабочее и остается разработчикам посоветовать приложить еще немного усилий и поработать над стабильностью B-Folders Secure Organizer.
2. Handy Safe Pro.
Разработчик: Paragon Software.
Версия приложения : 1.07.
Требования : Android 2.1+
Сразу предупреждаю любителей халявы – в тестовом режиме приложение может проработать только 14 дней, а после этого его придется либо удалить, либо купить.
Сразу после окна приветствия приложение предложит по традиции создать базу данных, где будут храниться Ваши пароли и т.п.
После этого Handy Safe Pro покажет окно с почти файловым менеджером и симпатичными иконками папок, но не это нас должно интересовать. Нужно создать снова папку «Соцсети», куда мы будем сохранять важные данные и пароли. Кстати, при добавлении нового элемента в Handy Safe Pro достаточно бедный выбор элементов – всего лишь Карточка, Папка и Шаблон. Но хотя бы список уже подключаемых интернет-сервисов широкий и есть все, что может понадобиться русскому пользователю. На каждом элементе сохраняется дополнительная информация в произвольное количество полей, т.е. можно вписать сколько угодно данных о сохраняемом элементе. Единственное, что насторожило – почему-то пароль сохраняется в текстовом поле. Но уже в режиме просмотра все выглядит отлично и открыть данные можно по кнопке «Show Password». Просматриваемые данные можно одним кликом сохранить в буферную память.
Здесь также можно произвести вручную синхронизацию сохраненных данных с компьютером, но они уже будут передаваться не через интернет, а напрямую.
Привет Хабр! Я молодой разработчик, специализирующийся на Android-разработке и информационной безопасности. Не так давно я задался вопросом: каким образом Google Chrome хранит сохраненные пароли пользователей? Анализируя информацию из сети и файлы самого хрома (особенно информативной была статья), я обнаружил определенные сходства и отличия в реализации сохранения паролей на разных платформах, и для демонстрации написал приложения для извлечения паролей из Android версии браузера.
Как это работает?
Как мы можем знать из разных публикаций в сети на эту тему, Google Chrome на ПК хранит пароли своих пользователей в следующей директории:«C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\» в файле "Login Data ".
Данный файл является базой данных SQLite, и его вполне можно открыть и посмотреть. В таблице logins мы можем видеть следующие, интересующие нас поля: origin_url (адрес сайта), username_value (логин), password_value (пароль). Пароль представлен байтовым массивом, и зашифрован через машинный ключ, индивидуальный для каждой системы. Подробнее можно узнать из статьи. Таким образом, какая-никакая защита в Windows клиенте присутствует.
Android
Но так как я больше увлекаюсь Android"ом, то мое внимание забрал на себя, соответственно, Android-клиент браузера.«Расковыряв» пакет Google Chrome (com.android.chrome ), я обнаружил, что его структура очень напоминает структуру ПК-клиента, и не составило труда найти точно такую же базу данных, отвечающую за хранение паролей пользователя. Полный путь к БД следующий: "/data/data/com.android.chrome/app_chrome/Default/Login Data" . В целом, эта база данных очень похожа на свою «старшую сестру» из ПК-версии, имея лишь одно, но очень значительное отличие - пароли тут хранятся в открытом виде. Возникает вопрос: можно ли программно извлечь пароли из базы? Ответ оказался весьма очевидным - да, если у вашего приложения есть root-права.
Реализация
Для большей наглядности было решено сделать свой инструмент для извлечения паролей из базы данных браузера.Если описать его работу в двух словах, то оно работает так:
- Получает root.
- Копирует базу данных Chrome в свою директорию.
- С помощью chmod получает доступ к копии БД.
- Открывает БД, и извлекает информацию о логинах и паролях.
Вывод
Как вывод из проделанной работы, можно сказать, что при наличии root-прав, вытащить базу паролей из браузера и отправить ее на свой сервер - задача вполне решаемая, и этот факт должен заставлять задуматься над тем, стоит ли доверять какому-либо приложению права суперпользователя.Надеюсь, эта статья была информативной. Спасибо за внимание!