时间:2023-01-27 13:24:55
周末早上,托尼我睡在温暖的小窝里,享受着假期。 突然被朋友的电话吵醒了。 起来,你的号码不见了。
? 什么情况? 请让多年没联系的朋友突然联系我。 打开这张图仔细一看,好家伙竟然是对我的恐吓信。 发给朋友的账号了吗?
这个黑客是“来势汹汹”的。 除了声称黑进了我的电脑设备,麦克风、键盘、显示器这些硬件都一一计算在内,在他的控制之下。
不仅如此,我还有能力把我的各种信息“放入材料”,做成视频,发给朋友欣赏。
诶? 我会死在这么简单的公司吗? 现在,我的脑海里从来没有过“梦之城天使村有人被短信诈骗胁迫”的横幅。
但是,托尼绝对不会用轻易的狗带。 这个黑客的哥哥也很温柔,给了我逃离他的机会。 使用1250美元的比特币,可以洗心革面,恢复在天使村呼吸的权利。
否则,你就不能吃后悔药了。 顺便说一下,这位哥哥为了证明他确实认识我,控制了我的电脑,并在邮件里附上了我当时电脑的截图。
出发前,留下了一句非常霸道的话。
勒索1250刀。 卖了我也没有这么多钱啊。 粉身碎骨,不要害怕,把清白留给这个世界吧! 我多年来珍惜的聊天记录不能被别人看到。 这么高的恐吓,否则。 重新安装系统吧。 话说回来,我到底是怎么使出绝招的呢? 死了也知道。 想了一会儿,决定还是从邮件里出现的那天开始想起来。
在此期间,为了帮助差评者寻找资料,确实下载了一个陌生的软件,似乎运行了这个陌生的程序。
评价你很奇怪! 但是我电脑里的杀毒软件也很带劲,当场报告错误。 【没有截图。 推荐脑补】看到电脑爆炸的风险提示,再笨我也是第一个反应过来的,当场中止过程刨根问底删除软件,甩开外援一起解决了电脑的问题。 据一种说法,360极速版还可以使用
我觉得自己打扫得很充分,所以把工作告一段落了。 没想到这几天索尼的账号一直在尝试登录。 但是,PS5的工作不太忙,没有在意。
另外,结合这次朋友提醒我是邮箱的问题,我顺藤摸瓜地找了自己的邮箱。 果然我也收到了类似的邮件。 ——只不过是被垃圾邮件屏蔽了。
然后,仔细看看这个邮件的抄送列表。 基本上是我登录这台电脑的账号。 所以我的朋友也收到了恐吓邮件。
所以。 结果,——用Chrome登录我电脑的账户都被黑客获取了。 除了账号外,还有密码。 那就是Chrome那里出了问题,所以我开始对他的密码管理策略感兴趣。 已知1 :我们保存的所有账户都被盗了。 2 )其中显示部分被盗账号疯狂登录,即密码被泄露。 所以把两者拿来看,Chrome本地保存的密码不安全,入侵者能在短时间内窃取大家的密码吗? 稍微研究了一下,发现这件事还没有我想象的那么复杂。 Chrome的密码保护机制确实能有多简单呢? 或者,完全不安全。 请大家回想一下我们使用Chrome的样子。 每次自动输入密码,不是都非常“麻木不仁”地直接输入了我们的账号和密码吗? 随意打开某个登录画面的样子
方便是方便,但这是不是“方便”过头了? 不仅不用验证我们是否能登录这些网站就能知道,还能直接输入密码。 而且从面子上来说防盗很轻松这一点很好,就连保管着我们密码的数据库中也很少采取安全措施。 如果你知道你电脑的解锁密码,你可以很容易地获取浏览器中存储的密码。
但我遭遇的显然不是这种情况,入侵者通过更暴力的方式直接获得了我的所有密码。 表面上,Chrome会加密我们的密码。 但是,是保管这个加密文件的地方吧。 是固定的位置。 该保险箱的位置位于以下地址: c: users appdatalocalGooglechromeuser datadefault logi ndata。
找到它后再用SQLite3数据库连接,就可以找到我们保存的“网址”——“账户”——“加密密码”的三种对应关系。 至少到这一步为止会安全一点。 那个毕竟是保险箱,打开高低还是需要钥匙的。
然而,遗憾的是,该密钥所在的位置也非常“特异性”,并且与我们本地系统中的“C: users appdatalocalGooglechrome _ ser data”相关联完全相同,没有变化
在记事本中打开此文件并搜索“encrypt”,即可获得解除此保险库的钥匙。
不是很简单吗? 谷歌使用的加密算法是安全性比较高的AES,但密文和密码密钥不能放在原地。 两者暴露后,Windows本身提供的解密函数cryptunprotectdata(dpapi.h ),使我们的密码瞬间变得模糊。
托尼也让世界找脚本体验过,但我可怜的密码被当场二次破解了。 (这里解密调用了微软自己的win 32的dpapi函数,需要用本机进行解密)
没错,在Windows上破解Chrome密码这么简单,甚至不需要管理员权限。 可能连风险提示都没有。 而且,谷歌完全知道这件事。 2013年左右,“如果有人入侵了你的系统用户账户,进一步的安全措施将是徒劳的。 如果犯人进了你家,你家所有的东西都很危险。 ”
乍一看似乎有道理,但如果托尼自己注意安全,不启动来历不明的软件,一切不就都好了吗? 但仔细想想,你就会发现谷歌在这里发表“不作为”的振锅言论是多么奇怪。 我作为用户,确实不小心让犯人进了家。 但这并不意味着你可以把我家的保险箱和钥匙摆在大门口吧。 海贼王罗杰死前就知道把自己的宝藏藏在“伟大航道”的尽头
谷歌作为世界上用户数量最多的浏览器,也是世界顶级的搜索引擎开发者,面对这样的用户隐私问题,难道不考虑如何保护大家,反而责怪用户的疏忽吗? 这怎么也做不好吧。
我们也知道,自己的房子被攻破后,任何防护方法都可能得不到100%的安全,但同样得不到绝对的安全,其他厂商也在尝试各种各样的方法保护大家。 MacOS选择用钥匙圈保护隐私,用其他加密保护用户的密码。
在濒临死亡的FireFox中,用户还可以用主密码进行二次防护。
或者,如果您对大型制造商的服务不满意,可以选择本地第三方密码本软件,例如自行构建付费1Password或免费开源Bitwarden服务。 大家都有各自的生活方式,但和谷歌一样,我们没有选择把密码放在最显眼的地方。