É realmente seguro salvar suas senhas no Google Chrome?

Se você utiliza o Google Chrome para navegação na Internet, certamente conhece a famosa janela que pergunta se você deseja armazenar sua senha ao fazer login em uma página web. A ESET, empresa especializada em detecção proativa de ameaças, explicou como funciona o mecanismo que o Chrome usa para armazenar e proteger as senhas salvas e ainda analisou alguns aspectos com relação à segurança.

 
Quando um usuário clica no botão "aceitar", permite que o Google Chrome salve no computador o nome de usuário e a senha inseridos no formulário de login de um site. Mais especificamente, esses dados serão armazenados em um banco de dados "SQLite3" que geralmente pode ser encontrado no seguinte endereço:
%LocalAppData%\Google\Chrome\User Data\Default\Login Data

O arquivo que contém o banco de dados é usado apenas pelo Google Chrome, portanto, presume-se que nenhum outro software "benigno" irá acessá-lo. Esse banco de dados possui tabelas com todas as informações necessárias para que o mecanismo de lembrança de senhas possa funcionar corretamente. Os dados de login são armazenados principalmente na tabela "logins".
Por motivos de segurança, as senhas não são armazenadas em texto simples - ou seja, todas as senhas são criptografadas. Essa função tem a particularidade de ser projetada de forma que os dados só possam ser descriptografados pelo mesmo usuário do sistema operacional que estava logado quando a senha foi criptografada ou no mesmo computador em que foram criptografados.
"Caso um cibercriminoso tenha acesso ao computador, ele pode facilmente obter as senhas, descriptografá-las e roubá-las em texto simples. Esse tipo de comportamento foi observado em vários códigos maliciosos e até mesmo em trojans bancários direcionados especificamente para a América Latina, onde se destinam a roubar credenciais de acesso de serviços home banking", comenta Daniel Kundro, pesquisador de malware da ESET América Latina.

Exemplo

Fazendo login no Facebook com um nome de usuário e senha fictícios, nossos pesquisadores aceitaram a opção para que o Google Chrome salvasse as credenciais. Depois, a equipe tentou localizar o arquivo no qual as informações haviam sido salvas. Para isso, basta abrir o arquivo com algum programa que permite visualizar bancos de dados (neste exemplo: DB Browser for SQLite).

Campos da tabela "logins" junto com seu conteúdo, no qual as credenciais de acesso utilizadas neste exemplo podem ser visualizadas
Após abrir o arquivo com a ferramenta DB Browser, é possível encontrar as entradas nas quais se encontram os dados para login, que incluem: URL, nome de usuário e senha. Na caixa vermelha localizada à direita da imagem, a senha armazenada é criptografada em uma estrutura BLOB e, ao clicar nesse campo, o programa mostra a representação hexadecimal dela.
Nesse momento, o atacante já possui o nome de usuário, o site e a senha criptografada - faltando apenas concluir a etapa final: descriptografar a senha. Para isso, o cibercriminoso se aproveita do fato de ter acesso (físico ou virtual) ao dispositivo, pois é bastante provável que o usuário ativo seja o mesmo que salvou a senha, permitindo que a informação seja descriptografada usando a função: CryptUnprotectData .
Todas essas etapas podem ser realizadas por um malware de forma rápida e automática
"No entanto, o malware não é o único risco que devemos ter em conta, uma vez que atualmente existem vários programas facilmente acessíveis por meio de uma pesquisa online que são capazes de realizar esses mesmos passos" acrescenta Kundro.
É importante ressaltar que todos os riscos citados acima se limitam exclusivamente a esse mecanismo, ou seja, ao risco de que as senhas armazenadas sejam roubadas. Portanto, o ideal é não usar essa funcionalidade e, caso seja necessário usá-la, não a use para salvar senhas de serviços como home banking, redes sociais, sites médicos ou que contenham informações pessoais.
Se você utiliza o Google Chrome para navegação na Internet, certamente conhece a famosa janela que pergunta se você deseja armazenar sua senha ao fazer login em uma página web. A ESET,empresa líder em detecção proativa de ameaças, explica qual mecanismo que o Chrome usa para armazenar e proteger as senhas salvas e analisa alguns aspectos com relação à segurança.
Quando um usuário clica no botão "aceitar", permite que o Google Chrome salve no computador o nome de usuário e a senha inseridos no formulário de login de um site. Mais especificamente, esses dados serão armazenados em um banco de dados SQLite3 que geralmente pode ser encontrado no seguinte endereço:
%LocalAppData%\Google\Chrome\User Data\Default\Login Data.
O arquivo que contém o banco de dados é usados apenas pelo Google Chrome,portanto, presume-se que nenhum outro software "benigno" irá acessá-lo.Esse banco de dados possui tabelas com todas as informações necessárias para que o mecanismo de lembrança de senhas possa funcionar corretamente.Os dados de login são armazenados principalmente na tabela "logins".
Por motivos de segurança, as senhas não são armazenadas em texto simples -ou seja, todas as senhas são criptografadas. Essa função tem a particularidade de ser projetada de forma que os dados só possam ser descriptografados pelo mesmo usuário do sistema operacional que estava logado quando a senha foi criptografada ou no mesmo computador em que foram criptografados.
"Caso um cibercriminoso tenha acesso ao computador, ele pode facilmente obter as senhas, descriptografá-las e roubá-las em texto simples. Esse tipo de comportamento foi observado em vários códigos maliciosos e até mesmo em trojans bancários direcionados especificamente para a América Latina,onde se destinam a roubar credenciais de acesso de serviços home banking",comenta Daniel Kundro, pesquisador de malware da ESET América Latina.
Abaixo, a ESET compartilha um exemplo:
Fazendo login no Facebook com um nome de usuário e senha fictícios, nossos pesquisadores aceitaram a opção para que o Google Chrome salvasse as credenciais. Depois, a equipe tentou localizar o arquivo no qual as informações haviam sido salvas. Para isso, basta abrir o arquivo com algum programa que permite visualizar bancos de dados (neste exemplo: DB Browserfor SQLite).


Campos da tabela "logins" junto com seu conteúdo, no qual as credenciais de acesso utilizadas neste exemplo podem ser visualizadas
Após abrir o arquivo com a ferramenta DB Browser, é possível encontrar as entradas nas quais se encontram os dados para login, que incluem: URL, nome de usuário e senha. Na caixa vermelha localizada à direita da imagem, a senha armazenada é criptografada em uma estrutura BLOB e, ao clicar nesse campo, o programa mostra a representação hexadecimal dela.
Nesse momento, o atacante já possui o nome de usuário, o site e a senha criptografada - faltando apenas concluir a etapa final: descriptografar a senha. Para isso, o cibercriminoso se aproveita do fato de ter acesso(físico ou virtual) ao dispositivo, pois é bastante provável que o usuário ativo seja o mesmo que salvou a senha, permitindo que a informação seja descriptografada usando a função: CryptUnprotectData
.
"Todas essas etapas podem ser realizadas por um malware de forma rápida e automática. No entanto, o malware não é o único risco que devemos ter em conta, uma vez que atualmente existem vários programas facilmente acessíveis por meio de uma pesquisa online que são capazes de realizar esses mesmos passos" acrescenta Kundro.
É importante ressaltar que todos os riscos citados acima se limitam exclusivamente a esse mecanismo, ou seja, ao risco de que as senhas armazenadas sejam roubadas. Portanto, o ideal é não usar essa funcionalidade e, caso seja necessário usá-la, não a use para salvar senhas de serviços como home banking, redes sociais, sites médicos ou que contenham informações pessoais.
Para te ajudar a ficar em casa
A ESET aderiu à campanha #FiqueEmCasa,oferecendo proteção para dispositivos e conteúdos que ajudam os usuários a aproveitar os dias em casa e garantir a segurança dos pequenos enquanto se divertem online em meio à pandemia.
No site, os usuários podem ter acesso a: ESET INTERNET SECURITY grátis por3 meses para proteger todos os dispositivos domésticos, Guia de Tele trabalho, com práticas para trabalhar em casa sem riscos, Academia ESET, para acessar cursos online que auxiliam a tirar mais proveito da tecnologia e o DigiPais,para ler conselhos sobre como acompanhar e proteger crianças na web.
Para saber mais sobre segurança da informação, entre no portal de notícias da ESET:
أحدث أقدم