É realmente seguro salvar suas senhas no Google Chrome?

3 min de leitura
Imagem de: É realmente seguro salvar suas senhas no Google Chrome?
Imagem: digitalinformationworld
Avatar do autor

Equipe TecMundo

Se você utiliza o Google Chrome para navegação na Internet, certamente conhece a famosa janela que pergunta se você deseja armazenar sua senha ao fazer login em uma página web. A ESET, empresa especializada em detecção proativa de ameaças, explicou para o TecMundo como funciona o mecanismo que o Chrome usa para armazenar e proteger as senhas salvas e ainda analisou alguns aspectos com relação à segurança.

Quando um usuário clica no botão "aceitar", permite que o Google Chrome salve no computador o nome de usuário e a senha inseridos no formulário de login de um site. Mais especificamente, esses dados serão armazenados em um banco de dados "SQLite3" que geralmente pode ser encontrado no seguinte endereço:

%LocalAppData%\Google\Chrome\User Data\Default\Login Data

O arquivo que contém o banco de dados é usado apenas pelo Google Chrome, portanto, presume-se que nenhum outro software "benigno" irá acessá-lo. Esse banco de dados possui tabelas com todas as informações necessárias para que o mecanismo de lembrança de senhas possa funcionar corretamente. Os dados de login são armazenados principalmente na tabela "logins".

Por motivos de segurança, as senhas não são armazenadas em texto simples - ou seja, todas as senhas são criptografadas. Essa função tem a particularidade de ser projetada de forma que os dados só possam ser descriptografados pelo mesmo usuário do sistema operacional que estava logado quando a senha foi criptografada ou no mesmo computador em que foram criptografados.

"Caso um cibercriminoso tenha acesso ao computador, ele pode facilmente obter as senhas, descriptografá-las e roubá-las em texto simples. Esse tipo de comportamento foi observado em vários códigos maliciosos e até mesmo em trojans bancários direcionados especificamente para a América Latina, onde se destinam a roubar credenciais de acesso de serviços home banking", comenta Daniel Kundro, pesquisador de malware da ESET América Latina.

Exemplo

Fazendo login no Facebook com um nome de usuário e senha fictícios, nossos pesquisadores aceitaram a opção para que o Google Chrome salvasse as credenciais. Depois, a equipe tentou localizar o arquivo no qual as informações haviam sido salvas. Para isso, basta abrir o arquivo com algum programa que permite visualizar bancos de dados (neste exemplo: DB Browser for SQLite).

esetCampos da tabela "logins" junto com seu conteúdo, no qual as credenciais de acesso utilizadas neste exemplo podem ser visualizadas

Após abrir o arquivo com a ferramenta DB Browser, é possível encontrar as entradas nas quais se encontram os dados para login, que incluem: URL, nome de usuário e senha. Na caixa vermelha localizada à direita da imagem, a senha armazenada é criptografada em uma estrutura BLOB e, ao clicar nesse campo, o programa mostra a representação hexadecimal dela.

Nesse momento, o atacante já possui o nome de usuário, o site e a senha criptografada - faltando apenas concluir a etapa final: descriptografar a senha. Para isso, o cibercriminoso se aproveita do fato de ter acesso (físico ou virtual) ao dispositivo, pois é bastante provável que o usuário ativo seja o mesmo que salvou a senha, permitindo que a informação seja descriptografada usando a função: CryptUnprotectData .

Todas essas etapas podem ser realizadas por um malware de forma rápida e automática

"No entanto, o malware não é o único risco que devemos ter em conta, uma vez que atualmente existem vários programas facilmente acessíveis por meio de uma pesquisa online que são capazes de realizar esses mesmos passos" acrescenta Kundro.

É importante ressaltar que todos os riscos citados acima se limitam exclusivamente a esse mecanismo, ou seja, ao risco de que as senhas armazenadas sejam roubadas. Portanto, o ideal é não usar essa funcionalidade e, caso seja necessário usá-la, não a use para salvar senhas de serviços como home banking, redes sociais, sites médicos ou que contenham informações pessoais.

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.