Literal, dimineața, am publicat un articol despre stocarea parolelor într-un telefon cu sistem Android, în timp ce întrebările s-au revărsat într-un personal despre dacă este posibil să utilizați alte aplicații, deși cu capabilități mai simple. Până la urmă, m-am hotărât să scriu mai mult revizuire detaliatăîn care voi dezvălui cele mai largi posibilităţi posibile sistem Androidîn salvarea parolelor și a autentificărilor, dar în același timp, astfel încât totul să se întâmple în siguranță și cu protecție împotriva hackurilor și atacuri de virus. Dar mai întâi, voi spune câteva cuvinte despre Android.
Adnotare. Cum a început totul?
Istoria problemei a început chiar la începutul unei lungi și pline de evenimente viata android când la început era doar platforma virtuala pentru dezvoltatori și numai odată cu apariția Smartphone T-Mobile G1 aka HTC Dream a apărut în lumea reală. Aflat constant multe modificări, Android a primit un cod mai bun și mari oportunități la munca. Dar, în același timp, nu numai calitatea sistemului promite fiabilitate, ci și aplicațiile instalate și utilizate. Și dacă ați avut timp să observați, atunci sistemul în sine a fost popularizat nu numai printre oamenii obișnuiți, ci și printre producători dispozitive mobile, care au devenit rapid smartphone-uri de clasă business.
Ce înseamnă un dispozitiv de clasă business? Aceasta este în primul rând o oportunitate de a folosi Internet mobil cu confort și viteză maximă, lucrați cu serviciile de Internet (și nu numai serviciile Google, care sunt oferite implicit). Deci logic, am ajuns la concluzia că toate acestea duc la stocarea forțată a multor date confidențiale: autentificări, parole, coduri pin, numere carduri bancare. La început nici nu m-am gândit să folosesc aplicații speciale, dar am salvat parole și altele asemenea dosar separat caiet A.K. Notepad. Desigur, aceasta nu a fost corectă și a fost cea mai greșită cale, creând o vulnerabilitate excelentă pentru informațiile mele personale. Pentru a vă împiedica să faceți ceea ce am făcut înainte, vă sugerez să folosiți următoarele sfaturi, unde am trecut în detaliu câteva aplicații excelente care stochează parole/loginuri și în același timp criptează informații care nu ar trebui puse la dispoziția persoanelor neautorizate.
Acum este timpul să trec direct la revizuirea acelor aplicații pe care eu personal le-aș folosi pe smartphone-ul meu Android. Lista de programe este următoarea:
- B-Folders Secure Organizer;
- Handy Safe Pro;
- KeePassDroid;
- Seif O.I.;
- master parola.
Evident, am prezentat aplicațiile în ordine alfabetică, nu după revendicarea personală a funcționalității.
1. B-Folders Secure Organizer.
Dezvoltator: Joint Logic Ltd.
Versiunea aplicației: 3.0.6.
Cerințe: Android 1.6+
În mod clar, există deja un standard pentru aplicațiile de depozitare a clădirilor. informații confidențiale. Este B-Folders Secure Organizer care devine reprezentantul standard al acestei clase de aplicații, prin urmare, imediat după prima lansare, pe ecran apare o fereastră aproape familiară cu crearea unei baze de date separate pentru parole:
Apropo, nu uitați să specificați un loc convenabil pentru salvare bază creată date. Puteți alege ca memorie interna, și SDcard. Din experienta personala Aș recomanda să-l salvați card extern, în cazul în care trebuie să resetați sistemul la setările din fabrică cu pierderea a tot ceea ce se află în memoria internă.
În aceeași fereastră, puteți specifica timpul pentru timeout după care baza de date se va închide automat, specificați parola pentru aceasta, care este necesară pentru a accesa datele.
Pentru mine, principalul dezavantaj a fost ecranul principal al aplicației, care din anumite motive devine disponibil după o repornire. Poate că acest lucru s-a întâmplat din cauza faptului că firmware-ul meu nu a fost finalizat pe smartphone-ul meu.
Dacă sunteți interesat de principalele caracteristici ale aplicației, acestea apar în text în fereastra pop-up a B-Folders Secure Organizer:
De exemplu, s-a dovedit că acest program poate crea o bază de date direct pe un card de memorie și apoi o poate sincroniza cu un computer printr-un cablu USB, deși înainte de asta era posibil să se lucreze doar „pe aer”. Cu utilizarea frecventă a B-Folders Secure Organizer, o astfel de fereastră devine prea intruzivă, ale cărei informații ar putea fi adăugate cu ușurință la secțiunea de ajutor și unde toată lumea o poate citi dacă dorește. Și se dovedește că utilizatorul este aproape forțat să citească informații inutile.
Acum direct despre crearea unui DB. Crea element nou pur și simplu - faceți clic pe butonul „Articol nou” și programul va oferi această alegere:
Apropo, B-Folders Secure Organizer vă permite să creați sub-elemente în cadrul elementelor în sine și să salvați subdosare întregi în ele. Adică, utilizatorul primește cea mai mare libertate în acțiune cu elementele bazei de date.
observat caracteristică interesantă atunci când lucrați cu aplicația - după ce B-Folders Secure Organizer din anumite motive închide baza de date cu parole după ce faceți clic pe butonul „Înapoi” sau „Acasă”, trebuie să introduceți constant parola principală chiar din această bază de date. Adică la trecerea de la aplicație la browser mobilși înapoi va trebui să introduceți constant această parolă. Desigur, acest lucru este foarte incomod.
mai ales forte aplicații - funcția de sincronizare a bazei de date cu computerul, dar altceva sperie - aplicația din anumite motive necesită acces constant la Internet la instalare, ceea ce este suspect pentru un program care stochează date confidențiale. Dar, în general, aplicația funcționează destul de mult și rămâne ca dezvoltatorii să-i sfătuiască să facă un pic mai mult efort și să lucreze la stabilitatea B-Folders Secure Organizer.
2. La indemanasigurPro.
Dezvoltator: Software Paragon.
Versiunea aplicației: 1.07.
Cerințe: Android 2.1+
Îi avertizez imediat pe fanii despre gratuități - în modul de testare, aplicația poate funcționa doar 14 zile, iar după aceea va trebui fie ștearsă, fie cumpărată.
Imediat după fereastra de bun venit, aplicația se va oferi în mod tradițional să creeze o bază de date în care vor fi stocate parolele dvs. etc.
După aceea, Handy Safe Pro va afișa o fereastră cu aproape manager de fișiereși pictograme de foldere frumoase, dar nu asta ar trebui să ne intereseze. Trebuie să creăm din nou folderul Rețele sociale, unde vom salva datele și parolele importante. Apropo, atunci când adăugați un nou element la Handy Safe Pro, alegerea elementelor este destul de slabă - doar Card, Folder și Template. Dar cel puțin lista serviciilor de internet deja conectate este largă și există tot ce poate avea nevoie un utilizator rus. Fiecare element stochează informatii suplimentareîntr-un număr arbitrar de câmpuri, de ex. puteți introduce câte date doriți despre elementul de salvat. Singurul lucru care m-a alertat a fost că din anumite motive parola este stocată într-un câmp de text. Dar deja în modul de vizualizare, totul arată grozav și poți deschide datele făcând clic pe butonul „Afișează parola”. Datele vizualizate pot fi salvate în memoria tampon cu un singur clic.
Aici puteți sincroniza și manual datele salvate cu computerul dvs., dar acestea nu vor mai fi transferate prin Internet, ci direct.
După cum probabil știți, unul dintre lucrurile pe care le stocați browser web Google se poate sincroniza între toate dispozitivele dvs. - acestea sunt datele (login și parola) pentru intrarea în diferite site-uri.
În timp ce în multe cazuri această opțiune poate fi utilă și convenabilă, majoritatea celor care nu ar dori să aibă încredere în companie parole Google pentru a intra în internet banking sau platforme de tranzacționare cum ar fi eBay sau Aliexpress. Dar cum rămâne cu cei care au dat clic accidental sau automat pe „Salvează parola” când au intrat pe unul dintre aceste site-uri?
Nu contează, oricând poți șterge cele salvate anterior browser Chrome pentru Android, acreditările lor pentru un anumit site.
Pentru a face acest lucru, trebuie doar să accesați meniul de setări ale browserului și să faceți clic pe elementul „Salvați parolele”, după care veți vedea următoarea fereastră cu o listă de site-uri pentru care ați salvat anterior parola de conectare, precum și un buton pentru a activa și dezactiva această opțiune pentru toate site-urile pe care le veți vizita în viitor:
Făcând clic pe un anumit site, veți deschide o fereastră similară cu următoarea, de unde vă puteți șterge acreditările:
Apropo, puteți vizualiza sau edita parolele numai în versiunea desktop a browserului; această opțiune nu este disponibilă în Chrome pentru Android.
În plus, după cum probabil ați observat deja în captura de ecran de mai sus, în elementul de meniu „Salvați parolele”, veți vedea și o listă de site-uri pentru care parolele nu sunt salvate. Astfel, dacă doriți să activați această opțiune pentru una dintre ele, trebuie să o selectați din listă și să o ștergeți în fereastra care se deschide.
Permiteți-mi să vă reamintesc că cel mai bine este să stocați parole greu de reținut pentru accesarea datelor confidențiale aplicație specială tip android. Keeper, și chiar mai bine - utilizați un generator de parole pentru asta
Salut Habr! Sunt un tânăr dezvoltator specializat în dezvoltarea Android și securitatea informatiei. Nu cu mult timp în urmă, mă întrebam cum Google Chrome stochează parolele de utilizator salvate? Analizând informațiile din rețea și fișierele chrome în sine (articolul a fost deosebit de informativ), am găsit anumite asemănări și diferențe în implementarea salvării parolelor pe platforme diferite, iar pentru demonstrație a scris aplicații pentru extragerea parolelor din versiunea Android browser.
Cum functioneaza?
După cum știm din diverse publicații de pe web pe acest subiect, Google Chrome pe PC stochează parolele utilizatorilor săi în următorul director:„C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\” în fișierul „ Date de conectare".
Acest fișier este baza Date SQLite, și este foarte posibil să îl deschideți și să îl vedeți. Masa autentificări putem vedea următoarele domenii de interes pentru noi: origine_url(adresa site-ului web), username_value(Autentificare), parola_valoare(parola). Parola este reprezentată de o matrice de octeți și este criptată folosind o cheie de mașină care este unică pentru fiecare sistem. Mai multe detalii găsiți în articol. Astfel, nicio protecție în Client Windows este prezent.
Android
Dar din moment ce mă interesează mai mult Android”, mi-a atras atenția, respectiv, de către clientul Android al browserului.Deschiderea pachetului Google Chrome (com.android.chrome), am constatat că structura sa este foarte asemănătoare cu cea a unui client PC și nu a fost greu să găsesc exact aceeași bază de date responsabilă cu stocarea parolelor utilizatorilor. Calea completă către baza de date este: „/data/data/com.android.chrome/app_chrome/Default/Date de conectare”. În general, această bază de date este foarte asemănătoare cu „sora sa mai mare” din versiunea pentru PC, cu o singură diferență, dar foarte semnificativă - parolele sunt stocate aici în formă deschisă. Apare întrebarea: este posibilă extragerea programatică a parolelor din baza de date? Răspunsul sa dovedit a fi destul de evident - da, dacă aplicația dvs. are drepturi de root.
Implementarea
Pentru o mai mare claritate, s-a decis să facem propriul nostru instrument pentru extragerea parolelor din baza de date a browserului.Dacă descrii munca lui pe scurt, atunci funcționează astfel:
- Devine root.
- Copiază baza date chromeîn directorul dvs.
- Cu ajutorul chmod are acces la o copie a bazei de date.
- Deschide baza de date și extrage informații despre login și parole.
Ieșire
Ca o concluzie din munca depusa, putem spune ca daca ai drepturi de root, scoaterea bazei de date de parole din browser si trimiterea acesteia la serverul tau este o sarcina complet rezolvabila, iar acest fapt ar trebui sa te faca sa te gandesti daca ar trebui sa ai incredere in vreunul. aplicație cu drepturi de superutilizator.Sper că acest articol a fost informativ. Multumesc pentru atentie!
