Chrome ofrece la posibilidad de completar las contraseñas automáticamente sin que usted, como usuario, tenga que ingresar ningún tipo de autenticación que no sea el inicio de sesión en la máquina. Esto significa que debe tener toda la información necesaria para acceder a las contraseñas almacenadas mientras se ejecuta en ese contexto.
Esto significa que cualquier otra aplicación que se ejecute en ese contexto (bajo su cuenta de usuario) también puede acceder a esa información.
Lo único que Chrome puede hacer es usar la protección a nivel del sistema operativo para evitar que otros usuarios lean sus datos. Bajo Windows utiliza la función CryptProtectData . Esto cifra los datos con sus credenciales de usuario de Windows, incluida su contraseña. Si olvida su contraseña, los datos no se pueden leer, incluso si un administrador la restablece (aunque con las contraseñas de Chrome, se realiza una copia de seguridad en línea y se recuperarán la próxima vez que inicie sesión con sus credenciales de Google).
¿Qué entiendo mal de seguridad?
Se debe asumir que cualquier software que se ejecute en su sistema con su propio usuario o administrador tendrá acceso a todo lo que usted hace. Si no pudo leer la contraseña del almacén de contraseñas, hay muchas otras formas de obtenerla. Desde el torpe (inicie chrome, apúntelo a chrome: // configuración / contraseñas y léalos de la interfaz de usuario) para extraer las contraseñas o la clave de la API de Google de la memoria de cromos mientras se está ejecutando o inyectando un certificado raíz falso y man in the middleing una conexión al sitio web donde se envía la contraseña.