Avast AV potrebbe leggere le password salvate da Firefox

Naviga le tue risposte
39

Il mio amico utilizza la funzionalità incorporata di gestione password di Firefox per salvare le password per i siti. Successivamente, dopo aver installato Avast Free Antivirus, c'era una funzionalità chiamata Password sull'interfaccia utente Avast. Quando si accede legge tutte le password memorizzate da Firefox e ha fornito questo report.

Questo dimostra chiaramente che le password sono state lette e confrontate da uno strumento di terze parti (Avast). Come fa Firefox a salvare le password? È un bug che viene sfruttato da Avast?

    
posta Ram 14.04.2016 - 23:14
fonte

4 risposte

52

Le password salvate da Firefox non sono crittografate (sono crittografate ma è possibile leggere la chiave) finché non si imposta una password principale. Non penso che questo sia un bug, ma ogni virus potrebbe comunque leggere quelle password

    
risposta data 14.04.2016 - 23:18
fonte
20

Firefox può decodificare le password senza inserire una password. Ciò significa che deve avere la chiave di decodifica - il che significa che qualsiasi programma che sappia come Firefox memorizza le cose può trovarli. Questo vale per qualsiasi programma che memorizza informazioni sul tuo sistema. La crittografia è solo una difesa strong se devi fornire la chiave di decrittografia prima di accedere ai dati memorizzati. (Si noti che ciò si ottiene utilizzando la password fornita come chiave di decodifica - nessuna password, nessuna decrittografia, nessun accesso ai dati crittografati. Questo significa intrinsecamente che non c'è alcun recupero della password diversa da quella esterna da qualche parte.)

La crittografia delle password impedisce a qualcuno di utilizzare Blocco note per leggere le tue password, ma non si ferma un serio tentativo di trovarle.

    
risposta data 15.04.2016 - 04:56
fonte
10

How does Firefox save the passwords?

Le risposte precedenti hanno già presentato l'idea generale, ma può essere fornita una spiegazione più approfondita.

Firefox memorizza tutte le informazioni dell'utente nella cartella del profilo. Su Windows, si trova sotto %APPDATA%\Mozilla\Firefox\Profiles\ ; e su Linux, ~/.mozilla/firefox/ .
La cartella del profilo viene creata la prima volta che viene avviato Firefox per l'utente corrente e in genere ha un nome criptico, come y7ogrp85.default nel mio caso. Questo nome è destinato a essere unico.

Dalla versione 32 di Firefox, due file che si trovano sotto la cartella del profilo sono responsabili della gestione delle password salvate all'interno del browser. Sono: logins.json e key3.db .

Il primo file, logins.json , contiene informazioni reali come un elenco di nomi utente, password, nomi di dominio ecc. Elenca inoltre i siti Web per i quali hai scelto di NON salvare una password. Tuttavia, questi sono crittografati. Puoi verificare da solo.

Il secondo file, key3.db , contiene la chiave per decrittografare le informazioni sensibili trovate nel file precedente, come nomi utente e password.

Ora, questa implementazione non è un segreto (dopotutto, Firefox è open source) e chiunque può sviluppare i propri mezzi per ottenere le password di qualcuno leggendo questi file. In effetti, è già stato fatto. Conosco uno strumento di Nirsoft chiamato PasswordFox per questo.

C'è un avvertimento possibile, ed è la possibilità che l'utente abbia implementato una password principale all'interno di Firefox; questo crittograferà il file key3.db stesso. Ma ci sono anche dei mezzi per aggirare il file con le utility create a tale scopo, come John the Ripper e altri.

Is it a bug which is being exploited by Avast?

No, non un bug. È proprio il modo in cui il browser è stato progettato (non da zero però - si è evoluto molto dalle prime versioni). Credo che sia ragionevolmente conveniente e sicuro. Finché:

  • Il tuo sistema non è compromesso;
  • Nessuno di cui non ti fidi ha accesso fisico al tuo computer o, ancora, accesso illimitato ai tuoi file / al tuo account utente;
  • I tuoi file sono protetti da Full Disk Encryption, nel caso in cui il tuo PC venga rubato,

dovresti stare bene. In ogni caso, do consiglia di impostare una password master strong o anche migliore, passando a un gestore di password dedicato come KeepassXC.


( Non sono personalmente collegato con Nirsoft, Firefox o KeepassXC. Sono solo un utente.)

    
risposta data 16.04.2016 - 11:22
fonte
1

Sfortunatamente, se tutto il necessario per ottenere la password del tuo sito è memorizzato sul tuo computer, è potenzialmente vulnerabile al malware. L'unico modo per evitare ciò è avere l'input dell'utente (in qualche modo). È fondamentalmente un trade-off tra comodità e sicurezza.

Se non hai un gestore di password di cui ti fidi e sei disposto a impegnarti a generare password uniche per il sito (che è meglio che usare una password per tutto o scriverle tutte o cercare di ricordarle tutte), Suggerisco di utilizzare password che implicano la crittografia del nome del sito tramite qualcosa come il cifrario Playfair ( link ). Questo è abbastanza semplice da poter essere fatto a mano (ad esempio quando non si è sul proprio computer) o può essere programmato facilmente (come un'applicazione separata che richiede l'immissione del tasto). Se è necessario aumentare la forza, ripetere il risultato o aggiungere prefissi o suffissi. Ovviamente non solo generare automaticamente queste password uniche per il sito, o ottenere il tuo browser per ricordarle.

    
risposta data 15.04.2016 - 19:12
fonte

Leggi altre domande sui tag

Un cookie CSRF deve essere HttpOnly? Perché esistono requisiti di rafforzamento della password?