Où sont stockés les mots de passe de messagerie dans Android ? Que faire si vous avez oublié le mot de passe ou le code de votre téléphone Android ? Comment récupérer les mots de passe pour toutes les applications

Bonjour Habr! Je suis un jeune développeur spécialisé dans le développement Android et sécurité des informations. Il n'y a pas longtemps, je me demandais : comment Google Chrome stocke les mots de passe utilisateur enregistrés ? En analysant les informations du réseau et les fichiers de Chrome lui-même (l'article était particulièrement informatif), j'ai découvert certaines similitudes et différences dans la mise en œuvre de l'enregistrement des mots de passe sur différentes plates-formes, et pour démonstration, j'ai écrit des applications pour récupérer des mots de passe depuis Versions Android navigateur.

Comment ça fonctionne?

Comme nous pouvons le savoir grâce à diverses publications en ligne sur ce sujet, Google Chrome sur PC stocke les mots de passe de ses utilisateurs dans le répertoire suivant :

"C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\" dans le fichier " Données de connexion".

Ce fichier est une base de données SQLite, et il est tout à fait possible de l'ouvrir et de le visualiser. Dans la table connexions nous pouvons voir les domaines suivants qui nous intéressent : origine_url(Adresse du site Web), nom_utilisateur_valeur(se connecter), valeur_mot de passe(mot de passe). Le mot de passe est représenté sous forme de tableau d'octets et est crypté à l'aide d'une clé machine, individuelle pour chaque système. Plus de détails peuvent être trouvés dans l’article. Ainsi, il existe une sorte de protection dans le client Windows.

Android

Mais comme je préfère Android, mon attention a été attirée sur le client du navigateur Android.

« Ouvrir » le colis Google Chrome (com.android.chrome), j'ai trouvé que sa structure est très similaire à celle du client PC, et il n'était pas difficile de trouver exactement la même base de données chargée de stocker les mots de passe des utilisateurs. Chemin completà la base de données est le suivant : "/data/data/com.android.chrome/app_chrome/Default/Données de connexion". En général, cette base de données est très similaire à sa « grande sœur » de la version PC, avec une seule différence, mais très significative : les mots de passe sont stockés ici en texte clair. La question se pose : est-il possible d'extraire par programme les mots de passe de la base de données ? La réponse s'est avérée assez évidente : oui, si votre application dispose des droits root.

Mise en œuvre

Pour plus de clarté, il a été décidé de créer notre propre outil de récupération des mots de passe de la base de données du navigateur.

Pour décrire son travail en quelques mots, cela fonctionne comme ceci :

• Obtient la racine.
• Copie la base de données Chrome dans son propre répertoire.
• En utilisant chmod, accède à une copie de la base de données.
• Ouvre la base de données et récupère des informations sur les identifiants et les mots de passe.

L'application a été publiée sur Google Play.

Conclusion

En conclusion du travail effectué, nous pouvons dire que si vous disposez des droits root, extraire la base de données de mots de passe du navigateur et l'envoyer à votre serveur est une tâche tout à fait résoluble, et ce fait devrait vous faire réfléchir à la question de savoir si vous devez faire confiance. toute application avec des droits de superutilisateur.

J'espère que cet article était informatif. Merci pour votre attention!

Bonjour Habr! Je suis un jeune développeur spécialisé dans le développement Android et la sécurité de l'information. Il n'y a pas si longtemps, je me demandais : comment Google Chrome stocke-t-il les mots de passe des utilisateurs enregistrés ? En analysant les informations du réseau et les fichiers de Chrome lui-même (cet article était particulièrement informatif), j'ai découvert certaines similitudes et différences dans la mise en œuvre de l'enregistrement des mots de passe sur différentes plates-formes, et pour démonstration, j'ai écrit des applications pour récupérer des mots de passe à partir de la version Android du navigateur.

Comment ça fonctionne?

Comme nous pouvons le savoir grâce à diverses publications en ligne sur ce sujet, Google Chrome sur PC stocke les mots de passe de ses utilisateurs dans le répertoire suivant :

"C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\" dans le fichier " Données de connexion".

Ce fichier est une base de données SQLite, et il est tout à fait possible de l'ouvrir et de le visualiser. Dans la table connexions nous pouvons voir les domaines suivants qui nous intéressent : origine_url(Adresse du site Web), nom_utilisateur_valeur(se connecter), valeur_mot de passe(mot de passe). Le mot de passe est représenté sous forme de tableau d'octets et est crypté à l'aide d'une clé machine, individuelle pour chaque système. Vous pouvez en apprendre davantage dans cet article. Ainsi, il existe une sorte de protection dans le client Windows.

Android

Mais comme je préfère Android, mon attention a été attirée sur le client du navigateur Android.

« Ouvrir » le colis Google Chrome (com.android.chrome), j'ai trouvé que sa structure est très similaire à celle du client PC, et il n'était pas difficile de trouver exactement la même base de données chargée de stocker les mots de passe des utilisateurs. Le chemin complet vers la base de données est le suivant : "/data/data/com.android.chrome/app_chrome/Default/Données de connexion". En général, cette base de données est très similaire à sa « grande sœur » de la version PC, avec une seule différence, mais très significative : les mots de passe sont stockés ici en texte clair. La question se pose : est-il possible d'extraire par programme les mots de passe de la base de données ? La réponse s'est avérée assez évidente : oui, si votre application dispose des droits root.

Mise en œuvre

Pour plus de clarté, il a été décidé de créer notre propre outil de récupération des mots de passe de la base de données du navigateur.

Pour décrire son travail en quelques mots, cela fonctionne comme ceci :

• Obtient la racine.
• Copie la base de données Chrome dans son propre répertoire.
• En utilisant chmod, accède à une copie de la base de données.
• Ouvre la base de données et récupère des informations sur les identifiants et les mots de passe.

L'application a été publiée sur Google Play.

Conclusion

En conclusion du travail effectué, nous pouvons dire que si vous disposez des droits root, extraire la base de données de mots de passe du navigateur et l'envoyer à votre serveur est une tâche tout à fait résoluble, et ce fait devrait vous faire réfléchir à la question de savoir si vous devez faire confiance. toute application avec des droits de superutilisateur.

J'espère que cet article était informatif. Merci pour votre attention!

Il arrive parfois que vous ayez oublié votre mot de passe VKontakte, que vous deviez vous connecter sur un autre appareil, par exemple à partir d'un téléphone mobile, et que vous ayez oublié le mot de passe, mais parfois vous pouvez consulter votre mot de passe.

Navigation Rapide:

Comment connaître votre mot de passe VK à partir d'un téléphone Android ?

Entraînez-vous à afficher votre mot de passe sur les appareils exécutant le système d'exploitation Systèmes Android, ne joue pas du tout en faveur de l'utilisateur oublieux de VKontakte. Le fait est qu'il est très difficile de rechercher le mot de passe de VK si vous vous êtes déjà connecté depuis une application mobile ou via un navigateur. Pensez simplement à la quantité de logiciels différents que vous devez installer, et il n'y a aucune garantie ; au contraire, vous pouvez perdre du temps et attraper une sorte d'infection. Si vous en avez l’occasion, mieux vaut en profiter.

Bien sûr, vous pouvez trouver des conseils sur la façon de procéder à l'aide de programmes, mais de telles tentatives se solderont très probablement par un échec. Après tout, la vitesse d'entrée dans l'index moteurs de recherche, laisse beaucoup à désirer, tout ce que l'on peut trouver, ce sont des programmes vieux d'un mois, voire d'un an. Naturellement, tout est déjà obsolète. Bien sûr, vous pouvez jouer à Hacker, mais ne dites pas que nous ne vous avons pas averti lorsque vous attrapez un virus sur votre appareil.

Découvrez le mot de passe dans l'application mobile VK pour iPhone.

Ici, ne pensez pas que vous pourrez accéder aux paramètres et connaître votre mot de passe. Même les informations sur l'e-mail et le numéro de téléphone sont masquées, seuls quelques caractères sont ouverts pour mémoriser des informations éventuellement oubliées.

Un moyen efficace de trouver le mot de passe de VKontakte.

À mon avis, la meilleure façon de connaître votre mot de passe depuis VKontakte, et pas seulement depuis n'importe quel site. Vous pouvez utiliser les fonctionnalités d'enregistrement automatique du mot de passe.

Une page avec les mots de passe enregistrés s'ouvrira, dans la fenêtre de recherche, commencez à taper le site vk.com et dans les résultats de la recherche, vous pourrez voir votre mot de passe.

Où sont stockés les mots de passe dans les téléphones en fonction deAndroid?

Presque tous les propriétaires d'un compte sur un réseau social ou connu E-mail, j'ai oublié mon mot de passe. Dans la plupart des cas, renseignez-vous mot de passe oublié assez simple, puisque de nombreux réseaux sociaux offrent la possibilité de récupérer un mot de passe en envoyant un message instantané au numéro d'abonné ou à l'email renseigné lors de l'inscription. Certains sites commemail. ru, ils proposent de récupérer le mot de passe à l'aide d'une question codée, réponse à laquelle l'utilisateur a indiqué lors de l'inscription.Mais il arrive souvent que la récupération du mot de passe semble impossible. Cela se produit lorsque des données telles que l'adresse e-mail et les numéros de téléphone sont perdues. Par exemple, un utilisateur a oublié son mot de passe pour son compte VKontakte, mais ne peut pas envoyer le code par message, car le numéro est déjà lié à une autre page, et le compte de messagerie est abandonné depuis longtemps. Dans ce cas, vous devez remplir un grand formulaire de récupération, en commençant par spécifier les données de votre passeport jusqu'à l'envoi d'une photo du moniteur avec une page remplie (pour prouver que vous n'êtes pas un robot).Mais il s'est avéré que le propriétaire des téléphonesAndroid, il est beaucoup plus facile de récupérer un mot de passe si vous savez où les mots de passe sont stockés dans Android. Pour ce faire, suivez simplement les instructions ci-dessous.

Comment trouver des mots de passe pour les applications et les navigateurs sous Android

- ChargementsurJouer au marchéapplicationGestionnaire de racine.Cette application est nécessaire pour que le programme de recherche de base de données, que vous devrez télécharger ultérieurement, fonctionne sans échec. Il prend peu de mémoire, donc n'importe qui peut le télécharger. Si l'application n'est pas compatible avec votre téléphone, vous devez la rechercher en utilisant le modèle de votre appareil. Saisissez dans la barre de recherche «RacineDirecteur( nom du modèle de téléphone)".

- Ensuite, nous téléchargeons une autre application SQLite Editor, dont le travail sera interconnecté avec celle précédemment installéeRacine. Cette application est vraiment très utile pour chaque utilisateurAndroid. L'application analyse instantanément l'appareil pour détecter la présence d'une base de données et affiche une liste de toutes les applications contenant la base de données. Pour trouver le mot de passe requis, nous recherchons d'abord dans les bases de données, puis sélectionnons celui requis dans la listenavigateur ou application (selon les cas). Après la sélection, un menu apparaît dans lequel vous devez cliquer sur « Webview. DB". Enfin, un tableau s'affiche indiquant les mots de passe et autres données stockées dans l'application, c'est-à-dire ce que nous recherchions.

Alors que nos vies se numérisent rapidement, nous sommes littéralement entourés d’une variété de mots de passe. Et lorsque le nombre de services atteint des dizaines, se souvenir de leurs mots de passe est tout simplement irréaliste. Vous pouvez bien sûr utiliser le même mot de passe partout, mais cela est très peu sécurisé. Vous l'avez perdu - et tous les détails de votre vie pourraient revenir à quelqu'un de peu sympathique. Il est donc plus correct d'inventer partout différents mots de passe, puis notez-les dans un endroit isolé.

Mais comment choisir ce lieu ? Pour que ce soit à la fois pratique et fiable ? Il existe des centaines d'options. Je ne vous parlerai pas de toutes les applications de stockage de mots de passe. Cela prendra trop de temps car j'ai essayé beaucoup de choses. Je vais vous parler mieux des deux sur lesquels j'ai finalement opté.

J'utilise Android avec plaisir depuis de nombreuses années. application gratuite Dossiers B. Contrairement à de nombreux analogues, il est véritablement gratuit - il n'y a aucune restriction sur le nombre de champs dans les enregistrements, ni sur le nombre d'enregistrements eux-mêmes. La base de données est stockée sous forme cryptée, par défaut, l'accès à celle-ci s'ouvre après saisie d'un mot de passe ou d'un code PIN (au choix). Pour un montant supplémentaire, vous pouvez activer le déverrouillage par empreinte digitale (299 roubles).

Le développeur travaille sur l'application depuis 2009 et semble avoir pensé à tout. Dans les paramètres, vous pouvez modifier l'apparence de l'application et des cartes, régler l'heure d'effacement forcé du presse-papiers après y avoir copié le mot de passe, permettre à la base de données de s'autodétruire après un certain nombre de mots de passe mal saisis, etc. . et ainsi de suite. La paranoïa des auteurs a atteint le point qu'il est même impossible de prendre une capture d'écran dans l'application - et c'est d'ailleurs tout à fait correct.

Vous pouvez trouver à redire sur deux choses. Premièrement, l'interface n'est pas localisée - tout est en anglais. Il n'y a aucun problème avec les noms et mots de passe russes, et toutes les inscriptions importantes sont dupliquées avec des icônes claires. Mais pour certains, cela peut être une nuisance.

Deuxièmement, il n'existe aucune option pour synchroniser automatiquement la base de données avec les stockages cloud. Peut-être que cela a également été fait pour renforcer la sécurité de la base de données de mots de passe. Mais ce dernier peut être enregistré sous forme de fichier crypté, envoyé vers n'importe quel cloud (Dropbox, OneDrive, etc.) et téléchargé de là sur un autre téléphone. La procédure prend littéralement une minute et tous vos paramètres favoris sont déplacés avec la base de données.

Donc, je n'aurais probablement utilisé que des dossiers B, mais la vie m'a obligé à rechercher une solution multiplateforme. Pour que vous puissiez également espionner les mots de passe particulièrement délicats sur Android, iOS et votre ordinateur. J'ai tout essayé et j'ai finalement opté pour... Gestionnaire de mots de passe Kaspersky. L'application est également gratuite par défaut, mais si vous n'ajoutez pas d'argent, vous ne pouvez stocker que 15 mots de passe. Si vous en voulez plus, veuillez payer un supplément. Vous ne pouvez pas acheter l'application pour toujours, la licence est valable un an. Mais malheureusement, c'est le cas de tous les jeux multiplateformes décents avec synchronisation en ligne. La seule question est le prix.

Et aussi étrange que cela puisse paraître, dans le cas de Kaspersky Password Manager, cela peut être très différent. J'ai été stupide d'acheter une licence directement via Magasin d'applications, où ils m'ont escroqué de 1000 roubles. Et sur le site de Kaspersky Lab, la même chose ne coûte que 450 roubles. Si vous avez acheté une licence pour Kaspersky Total Security (1 990 roubles par an pour deux ordinateurs), Password Manager sera un bonus gratuit.

Étant donné que Password Manager a des racines russes, la localisation est pleinement présente. Il existe différents formats de cartes pour les sites Web, les applications et les données personnelles, ainsi qu'une section distincte pour les notes. Bien sûr, également crypté. J'ai aimé que lorsque vous entrez un mot de passe pour un site, son icône soit automatiquement mise à jour dans le menu - cela permet de ne pas se perdre plus facilement lorsqu'il y a beaucoup de mots de passe. De plus, si vous ouvrez le site directement depuis l'application, celle-ci tentera d'insérer le mot de passe dans le formulaire. Cela ne fonctionne pas toujours, car les formulaires sont rédigés de différentes manières. Mais parfois, cela fait vraiment gagner du temps.

Les mots de passe saisis une fois sont stockés dans le cloud de Kaspersky Lab et sont accessibles depuis tous les appareils autorisés. Une protection supplémentaire est assurée par la présence d'un mot de passe principal : c'est-à-dire qu'il ne suffit pas de saisir les informations de votre compte, vous en avez besoin d'un autre par-dessus. Connectez-vous à l'application à l'aide d'un code PIN, d'une empreinte digitale ou - dans le cas de l'iPhone X - par expression faciale. Il existe des versions pour PC et Mac, mais il est probablement plus facile d'y accéder via un navigateur.

Le seul inconvénient du produit est l’absence de possibilité d’acheter une licence à vie, c’est en quelque sorte plus sûr avec. Mais il semble que le temps pour de telles licences soit compté.

Prenez soin de vos mots de passe ! Il y a trop à perdre avec eux. Il suffit de rappeler les centaines de malades qui ont oublié les détails de leur portefeuille Bitcoin :)

Vues : 4 604