11:37
15/12/2009

ymir donosi, że w sieci pojawił się program pozwalający złamać, tfu, odzyskać hasło do konta Google. Aplikacja przeszukuje dysk atakowanego, tfu, badanego komputera pod kątem zainstalowanych produktów Google’a, a następnie próbuje odszyfrować zapamiętane w nich hasła do profili.

Google Password Decryptor odzyskuje hasła do…

…większości aplikacji autorstwa Google. GooglePasswordDecryptor jest w stanie odzyskać hasła z:

  • Google Talk
  • Google Picassa
  • Gmail Notifier
  • Google Desktop Seach
  • Internet Explorer (wersje od 4 do 8)
  • Google Chrome

Każda ze wspieranych przez GooglePasswordDecryptor aplikacji programów korzysta z własnego formatu i innego miejsca do przechowywania haseł użytkownika. GTalk na przykład, hasła szyfruje za pomocą Windows Cryptography i umieszcza w rejestrze:

HKEY_CURRENT_USER\Software\Google\Google Talk\Accounts
GooglePasswordDecryptor zanalizuje klucz zawierający zcacheowane i zaszyfrowane hasło, a następnie rozszyfruje je i pokaże użytkownikowi.

Autorzy programu przestrzegają, że hasło do profilu Google’a to tzw. single point of failure (pojedyńczy punkt awarii). Utrata hasła do Google wiąże się z brakiem dostępu do szeregu usług, a od niedawna także do niezliczonej liczby serwisów do których da się zalogować za pomocą OpenID.

Jak złamać hasło do GMaila? A także Picasy i GTalka?

Wystarczy pobrać i uruchomić GooglePasswordDecryptor, a na ekranie ukażą się wszystkie aplikacje Google’a zainstalowane na badanym komputerze.

googlepassworddecryptor_main

Po kliknięciu na “Start Recovery” GooglePasswordDecryptor odzyska i pokaże hasła:

googlepassworddecryptor_exporthtml

Jak nie zabezpieczyć swoje zapamiętane hasła?

W przypadku przeglądarek takich jak Opera czy Firefox można ustawić tzw. Hasło Główne (Master Password), za pomocą którego przeglądarka szyfruje plik z “zapamiętanymi” hasłami. Wyciągnięcie zapamiętanych haseł jest możliwe dopiero po “złamaniu” głównego hasła, co może być cieżkie, jeśli hasło nie jest słownikowe i odpowiednio długie.

Co zrobić, jeśli ktoś przejmie moje hasło?

Jeśli ktoś pozna twoje hasło, ma dostęp do twojej poczty elektronicznej, zdjęć i innych zasobów dostępnych za pomocą usług Google. Może też odciąć cię od twojego konta i danych (zmieniając hasło). Mając to na uwadze, sprawdź czy ustawiłeś dodatkowe opcje, takie jak numer telefonu, drugi adres e-mail i pytanie kontrolne, pozwalające odzyskać hasło do konta Google. Jeśli ktoś zmieni ci hasło, to pozostaje ci jedynie nadzieja, że w crackerskim podnieceniu zapomniał o zmianie numeru telefonu ;-)

P.S. Tylko czekać, aż ktoś dorzuci wykorzystywane przez Google Password Decryptor metody odszyfrowywania haseł do jakiegoś trojana :> W dzisiejszym internecie, utrata hasła do Google dla wielu może oznaczać katastrofę, a GMail jakoś nie skłania do lokalnego składowania poczty…

Przeczytaj także:

16 komentarzy

Dodaj komentarz
  1. W Mozilli mozna obejrzec hasla bez specjalnego oprogramowania… jesli ktos zapisuje hasla na swoim kompie, to sie musi liczyc,ze nie jest to bezpieczne.

    • Daniel
      Potrafibys zlamac haslo bez dostepu do komputera tej osoby?

  2. Mam świadmość, że wiele osób tego nie robi, ale zawsze możesz sobie “zahasłować” dostęp do tego okna, jest coś takiego jak general password protection czy coś w ten deseń, umożliwia to założenie hasła głównego. Dopiero po wpisaniu tego możesz przeglądać hasła…

  3. Wydaje się że OAuth byłby rozwiązaniem. Wtedy atakujący mógłby co najwyżej przechwycić sesję do picasy czy kalendarza (lub nawet maila /tak, wiem, że ciężko program pocztowy zmusić do używania oauth/) ale nie poznałby hasła, a właściciel konta mógłby jednym kliknięciem unieważnić wszystkie wcześniej wydane tokeny.

  4. Miałem swego czasu śmiechawkę, jak Chromem importowałem ustawienia i zapisane hasła z Firefoksa, a później w chromie mogłem je oglądać w plaintekście ;)

  5. W firefoxie też je sobie możesz pooglądać plaintextem ;]. Chociaż da się niby założyć hasło na FF baze kluczy, ciekawe czy wtedy już szyfruje jakoś sensownie…

  6. Jak w newsie wspomniano – utrata konta może być wielką stratą.
    To może wprowadźmy tokeny i hasła jednorazowe. Skoro PayPal dysponuje takimi tokenami, i banki też, to może pora i na Google.

  7. Bez sensu. Lepiej użyć OAuth gdzie się da (Picasa, Earth, itp) a do maila generować “hasło zastępcze” do logowania pop/imap/smtp. Byle tylko nigdzie na komputerze nie składować hasła do konta.

  8. Po założeniu hasła głównego, w Fx, w bazie (sqlite) trzymane są zaszyfrowane zarówno loginy, jak i hasła. Metoda szyfrowania 3DES w trybie CBC. Także przy słabym haśle złamanie tego to kwestia sekundy ;>

    Można zresztą podejrzeć sobie bazę signons przy użyciu dodatku SQLite Manager, dla Fx.

    • Adrian, potrafilbys zlamac haslo do pozty bez dostepu do komputera danej osoby?

  9. Rany, tego się nie spodziewałem, że Google używa PStore do przechowywania haseł. Przecież to jest zamach na bezpieczeństwo użytkowników. Większość obecnie krążących trojanów w internecie ma moduł odczytywania haseł zapisanych w PStore.
    Do FF polecam addon LastPass, który przechowywuje zaszyfrowane nasze hasła na serwerze autorów addon’a, ale bez master key’a nie mogą oni ich odczytać, gdyż dekrypcja następuje dopiero po ściągnieciu naszej zaszyfrowanej bazy z serwera u nas na komputerze.

  10. A mi to lata, bo nie używam Winshita ;) tylko kulturalnie Debianika :> Więc w sumie większość takowych zagrożeń mnie omija ale warto wiedzieć :]

  11. Ładny programik. Podwyższył mi poczucie bezpieczeństwa: kompletnie niczego u mnie nie zdołał odgadnąć w swojej nieskończonej mądrości. To oznacza, że Google + normalny facet = bezpieczeństwo.
    A jak ktoś lubi byle jak – to po co łamacz haseł….

  12. Zainstalowałm programik. Owszem wyszukał hasło do mojego gmaila ale nie potrafię go odczytać bo pokazuje same gwiazdki. Czy to się jakoś kopiuje czy zapisuje w jakis sposób?

  13. Nie wiem czemu, ale u mnie nie działa… i nie wiem jak temu zaradzić, a pliki, które mam na swoim koncie są dla mnie dość ważne… Jeśli nie działa to co w takim wypadku można jeszcze zrobić?

  14. mam problem z kontem na google w moim galaxy ace(GT-I8160) 2. Poprostu mój chrześniak sobie je założył bo coś sobie chciał ściągnąć.a teraz córka mi zablokowała telefon bo miałem ustawiony symbol jak hasło. I teraz mam komunikat “zbyt wiele prób wpisania symbolu! Aby odblokować,zarejestruj się na swoim koncie Google”tylko że nikt tego konta nie zna.I co teraz,nie chce resetować telefonu bo mam tam dużo ważnych adresów@ i telefonów.
    POMOCY…………….MÓJ maxiu301@vp.pl

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: