Dove vengono archiviate le password e-mail in Android? Cosa fare se hai dimenticato la password o il codice del tuo telefono Android? Come recuperare le password per tutte le applicazioni

Ciao Habr! Sono un giovane sviluppatore specializzato nello sviluppo Android e nella sicurezza informatica. Non molto tempo fa mi chiedevo: come fa Google Chrome a memorizzare le password degli utenti salvate? Analizzando le informazioni dalla rete e dai file di Chrome stesso (l'articolo era particolarmente informativo), ho scoperto alcune somiglianze e differenze nell'implementazione del salvataggio delle password su piattaforme diverse e, a scopo dimostrativo, ho scritto applicazioni per il recupero delle password dalla versione Android di navigatore.

Come funziona?

Come possiamo sapere da diverse pubblicazioni online sull'argomento, Google Chrome su PC memorizza le password dei suoi utenti nella seguente directory:

"C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\" nel file " Dati di accesso".

Questo file è un database SQLite ed è del tutto possibile aprirlo e visualizzarlo. Sul tavolo accessi possiamo vedere i seguenti campi di nostro interesse: origine_url(Indirizzo Web), nome_utente_valore(login), valore_password(parola d'ordine). La password è rappresentata come un array di byte ed è crittografata utilizzando una chiave macchina, individuale per ciascun sistema. Maggiori dettagli possono essere trovati nell'articolo. Pertanto, esiste una sorta di protezione nel client Windows.

Androide

Ma poiché sono più interessato ad Android, la mia attenzione è stata attirata dal client del browser Android.

“Aprire” il pacco Google Chrome (com.android.chrome), ho scoperto che la sua struttura è molto simile a quella del client PC e non è stato difficile trovare esattamente lo stesso database responsabile della memorizzazione delle password degli utenti. Il percorso completo del database è il seguente: "/data/data/com.android.chrome/app_chrome/Default/Dati di accesso". In generale, questo database è molto simile alla sua "sorella maggiore" della versione PC, con una sola, ma differenza molto significativa: le password sono memorizzate qui in chiaro. La domanda sorge spontanea: è possibile estrarre a livello di codice le password dal database? La risposta si è rivelata abbastanza ovvia: sì, se la tua applicazione ha i diritti di root.

Implementazione

Per maggiore chiarezza, si è deciso di creare un proprio strumento per recuperare le password dal database del browser.

Per descrivere in poche parole il suo funzionamento, funziona così:

• Diventa root.
• Copia il database di Chrome nella propria directory.
• Utilizzando chmod, accede a una copia del database.
• Apre il database e recupera informazioni su accessi e password.

L'applicazione è stata pubblicata su Google Play.

Conclusione

In conclusione del lavoro svolto, possiamo dire che se disponi dei diritti di root, estrarre il database delle password dal browser e inviarlo al tuo server è un compito completamente risolvibile, e questo fatto dovrebbe farti pensare se dovresti fidarti qualsiasi applicazione con diritti di superutente.

Spero che questo articolo sia stato informativo. Grazie per l'attenzione!

Ciao Habr! Sono un giovane sviluppatore specializzato nello sviluppo Android e nella sicurezza informatica. Non molto tempo fa mi chiedevo: come fa Google Chrome a memorizzare le password degli utenti salvate? Analizzando le informazioni dalla rete e i file di Chrome stesso (questo articolo è stato particolarmente informativo), ho scoperto alcune somiglianze e differenze nell'implementazione del salvataggio delle password su diverse piattaforme e, a scopo dimostrativo, ho scritto applicazioni per il recupero delle password dalla versione Android di navigatore.

Come funziona?

Come possiamo sapere da diverse pubblicazioni online sull'argomento, Google Chrome su PC memorizza le password dei suoi utenti nella seguente directory:

"C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\" nel file " Dati di accesso".

Questo file è un database SQLite ed è del tutto possibile aprirlo e visualizzarlo. Sul tavolo accessi possiamo vedere i seguenti campi di nostro interesse: origine_url(Indirizzo Web), nome_utente_valore(login), valore_password(parola d'ordine). La password è rappresentata come un array di byte ed è crittografata utilizzando una chiave macchina, individuale per ciascun sistema. Puoi imparare di più da questo articolo. Pertanto, esiste una sorta di protezione nel client Windows.

Androide

Ma poiché sono più interessato ad Android, la mia attenzione è stata attirata dal client del browser Android.

“Aprire” il pacco Google Chrome (com.android.chrome), ho scoperto che la sua struttura è molto simile a quella del client PC e non è stato difficile trovare esattamente lo stesso database responsabile della memorizzazione delle password degli utenti. Il percorso completo del database è il seguente: "/data/data/com.android.chrome/app_chrome/Default/Dati di accesso". In generale, questo database è molto simile alla sua "sorella maggiore" della versione PC, con una sola, ma differenza molto significativa: le password sono memorizzate qui in chiaro. La domanda sorge spontanea: è possibile estrarre a livello di codice le password dal database? La risposta si è rivelata abbastanza ovvia: sì, se la tua applicazione ha i diritti di root.

Implementazione

Per maggiore chiarezza, si è deciso di creare un proprio strumento per recuperare le password dal database del browser.

Per descrivere in poche parole il suo funzionamento, funziona così:

• Diventa root.
• Copia il database di Chrome nella propria directory.
• Utilizzando chmod, accede a una copia del database.
• Apre il database e recupera informazioni su accessi e password.

L'applicazione è stata pubblicata su Google Play.

Conclusione

In conclusione del lavoro svolto, possiamo dire che se disponi dei diritti di root, estrarre il database delle password dal browser e inviarlo al tuo server è un compito completamente risolvibile, e questo fatto dovrebbe farti pensare se dovresti fidarti qualsiasi applicazione con diritti di superutente.

Spero che questo articolo sia stato informativo. Grazie per l'attenzione!

Ci sono momenti in cui hai dimenticato la password VKontakte, devi accedere su un altro dispositivo, ad esempio da un telefono cellulare, e hai dimenticato la password, ma a volte puoi guardare la tua password.

Navigazione rapida:

Come puoi trovare la tua password VK da un telefono Android?

La pratica di visualizzare la propria password sui dispositivi che eseguono il sistema operativo Android non funziona a favore dell'utente smemorato di VKontakte. Il fatto è che è molto difficile cercare la password da VK se hai precedentemente effettuato l'accesso da un'applicazione mobile o tramite un browser. Basta pensare a quanti software diversi devi installare e non ci sono garanzie; al contrario, puoi perdere tempo e prendere qualche tipo di infezione. Se ne hai l'opportunità, è meglio approfittarne.

Naturalmente, puoi trovare suggerimenti su come farlo utilizzando i programmi, ma molto probabilmente tali tentativi finiranno con un fallimento. Dopotutto, la velocità con cui si entra nell'indice del motore di ricerca lascia molto a desiderare, il massimo che si può trovare sono programmi vecchi di un mese o addirittura di un anno. Naturalmente, tutto è già obsoleto. Certo, puoi giocare a Hacker, ma non dire che non ti abbiamo avvisato quando prendi un virus sul tuo dispositivo.

Scopri la password nell'applicazione mobile VK per iPhone.

Qui, non pensare che sarai in grado di entrare nelle impostazioni e scoprire la tua password. Anche le informazioni relative all'e-mail e al numero di telefono sono nascoste, solo pochi caratteri sono aperti per ricordare informazioni eventualmente dimenticate.

Un modo funzionante per scoprire la password da VKontakte.

Secondo me, il modo migliore per scoprire la tua password è da VKontakte e non solo da qualsiasi sito. È possibile utilizzare le funzionalità di salvataggio automatico della password.

Si aprirà una pagina con le password salvate, nella finestra di ricerca, inizia a digitare il sito vk.com e nei risultati della ricerca potrai vedere la tua password.

In base a dove sono archiviate le password nei telefoniAndroide?

Quasi tutti i proprietari di un account di social network o di un indirizzo e-mail noto hanno dimenticato la propria password. Nella maggior parte dei casi, scoprire una password dimenticata è abbastanza semplice, poiché molti social network offrono la possibilità di recuperare una password inviando un messaggio istantaneo al numero di abbonato o all'e-mail specificata durante la registrazione. Alcuni siti comeposta. ru, offrono di recuperare la password utilizzando una domanda in codice, la risposta a cui l'utente ha indicato durante la registrazione.Ma ci sono spesso momenti in cui il recupero della password sembra impossibile. Ciò accade quando si perdono dati come indirizzo e-mail e numeri di telefono. Ad esempio, un utente ha dimenticato la password del suo account VKontakte, ma non può inviare il codice tramite messaggio, poiché il numero è già collegato a un'altra pagina e l'account di posta elettronica è stato abbandonato da tempo. In questo caso dovrai compilare un ampio modulo per il recupero, iniziando con l'indicazione dei dati del tuo passaporto fino all'invio di una foto del monitor con la pagina compilata (per dimostrare che non sei un robot).Ma, a quanto pare, il proprietario dei telefoniAndroide, è molto più semplice recuperare una password se sai dove sono archiviate le password su Android. Per fare ciò, basta seguire le istruzioni riportate di seguito.

Come trovare le password per applicazioni e browser in Android

- CaricamentoSUGioca al mercatoapplicazioneGestore delle radici.Questa applicazione è necessaria affinché il programma di ricerca nel database, che dovrai scaricare in seguito, funzioni senza problemi. Occupa poca memoria, quindi chiunque può scaricarlo. Se l'app non è compatibile con il tuo telefono, devi cercarla utilizzando il modello del tuo dispositivo. Inserisci nella barra di ricerca “RadiceManager( nome del modello del telefono)".

- Quindi scarichiamo un'altra applicazione SQLite Editor, il cui lavoro sarà interconnesso con quello precedentemente installatoRadice. Questa applicazione è davvero molto utile per ogni utenteAndroide. L'applicazione esegue immediatamente la scansione del dispositivo per verificare la presenza di un database e mostra un elenco di tutte le applicazioni che contengono il database. Per trovare la password richiesta, prima cerchiamo nei database, quindi selezioniamo quella richiesta dall'elencobrowser o applicazione (a seconda dei casi). Dopo la selezione, viene visualizzato un menu in cui è necessario fare clic su "webview. Db". Infine, viene mostrata una tabella che indica le password e altri dati memorizzati nell'applicazione, ovvero ciò che stavamo cercando.

Man mano che le nostre vite si digitalizzano rapidamente, siamo letteralmente circondati da una varietà di password. E quando il numero di servizi arriva a decine, ricordarne le password è semplicemente irrealistico. Ovviamente puoi usare la stessa password ovunque, ma questo è molto insicuro. Perso - e tutti i dettagli della tua vita potrebbero andare a qualcuno non molto amichevole. Pertanto, è meglio trovare password diverse ovunque e poi scriverle in un luogo appartato.

Ma come scegliere questo posto? In modo che sia conveniente e affidabile? Ci sono centinaia di opzioni. Non ti parlerò di tutte le app per l'archiviazione delle password. Ci vorrà troppo tempo perché ho provato molte cose. Ti racconterò meglio dei due che alla fine ho optato.

Utilizzo l'app gratuita su Android ormai da molti anni. Cartelle B. A differenza di molti analoghi, è veramente gratuito: non ci sono restrizioni sul numero di campi nei record o sul numero dei record stessi. Il database è archiviato in forma crittografata; per impostazione predefinita, l'accesso ad esso viene aperto dopo aver inserito una password o un codice PIN (a tua scelta). Per un importo aggiuntivo puoi abilitare lo sblocco tramite impronta digitale (299 rubli).

Lo sviluppatore lavora sull'applicazione dal 2009 e sembra aver pensato a tutto. Nelle impostazioni, puoi modificare l'aspetto dell'applicazione e delle carte, impostare il tempo per la cancellazione forzata degli appunti dopo aver copiato la password al suo interno, abilitare l'autodistruzione del database dopo un certo numero di password inserite in modo errato, ecc. . e così via. La paranoia degli autori è arrivata al punto che non puoi nemmeno fare uno screenshot nell'applicazione - e questo, tra l'altro, è assolutamente corretto.

Puoi trovare difetti in due cose. Innanzitutto l'interfaccia non è localizzata: è tutto in inglese. Non ci sono problemi con nomi e password russi e tutte le iscrizioni importanti sono duplicate con icone chiare. Ma per alcuni potrebbe essere un fastidio.

In secondo luogo, non è possibile sincronizzare automaticamente il database con gli archivi cloud. Forse questo è stato fatto anche per una maggiore sicurezza del database delle password. Ma quest'ultimo può essere salvato come file crittografato, inviato a qualsiasi cloud (Dropbox, OneDrive, ecc.) e scaricato da lì su un altro telefono. La procedura richiede letteralmente un minuto e tutte le tue impostazioni preferite vengono spostate insieme al database.

Quindi probabilmente avrei usato solo B-Folders, ma la vita mi ha costretto a cercare una soluzione multipiattaforma. In questo modo potrai spiare anche password particolarmente complicate su Android, iOS e sul tuo computer. Ho provato di tutto e alla fine ho deciso... Kaspersky Password Manager. Anche l'applicazione è gratuita per impostazione predefinita, ma se non aggiungi denaro puoi memorizzare solo 15 password. Se vuoi di più, paga un extra. Non è possibile acquistare l'applicazione per sempre; la licenza è valida per un anno. Ma sfortunatamente questo è il caso di tutti i giochi multipiattaforma decenti con sincronizzazione online. L'unica domanda è il prezzo.

E, per quanto strano possa sembrare, nel caso di Kaspersky Password Manager le cose possono essere molto diverse. Sono stato stupido ad acquistare una licenza direttamente tramite l'App Store, dove mi hanno addebitato 1000 rubli. E sul sito di Kaspersky Lab la stessa cosa costa solo 450 rubli. Se hai acquistato una licenza per Kaspersky Total Security (1.990 rubli all'anno per due computer), Password Manager sarà un bonus gratuito.

Poiché Password Manager ha radici russe, la localizzazione è completamente presente. Esistono diversi formati di carte per siti Web, app e dati personali, inoltre c'è una sezione separata per le note. Naturalmente, anche crittografato. Mi è piaciuto che quando inserisci una password per un sito, la sua icona viene aggiornata automaticamente nel menu: questo rende più facile non perdersi quando ci sono molte password. Inoltre, se apri il sito direttamente dall'applicazione, proverà a inserire la password nel modulo. Non sempre funziona, perché i moduli sono scritti in tanti modi diversi. Ma a volte fa davvero risparmiare tempo.

Le password immesse una volta vengono archiviate nel cloud di Kaspersky Lab e sono accessibili da qualsiasi dispositivo autorizzato. Un'ulteriore protezione è fornita dalla presenza di una password principale: ovvero non è sufficiente inserire le informazioni del proprio account, ne serve un'altra in più. Accedi all'applicazione utilizzando un codice PIN, un'impronta digitale o, nel caso dell'iPhone X, tramite l'espressione facciale. Esistono versioni per PC e Mac, ma probabilmente è più semplice accedervi tramite un browser.

L'unico svantaggio del prodotto è la mancanza della possibilità di acquistare una licenza a vita, con essa è in qualche modo più sicuro. Ma sembra che il tempo per tali licenze stia per scadere.

Prenditi cura delle tue password! C'è troppo da perdere con loro. Basti ricordare le centinaia di malati che hanno dimenticato i dettagli dei loro portafogli Bitcoin :)

Visualizzazioni: 4.604