¿Puede un complemento o complemento de Firefox acceder a las contraseñas guardadas de los sitios web del usuario en modo descifrado?

14

Profundizando en la pregunta anterior en Complementos y complementos de Firefox riesgos de malware : ¿podría un complemento de Firefox descodificar y capturar las contraseñas de los sitios web cifrados guardadas en el navegador?

    
pregunta Guillermo 03.08.2011 - 15:25
fuente

2 respuestas

10

En Firefox: Sí, absolutamente. Nada sobre la arquitectura de Firefox les impide hacerlo.

Mientras que las contraseñas en teoría están "cifradas" mientras están almacenadas en el disco, la clave de descifrado también se almacena en el disco. Por lo tanto, cualquier software con acceso al sistema de archivos encontrará trivial descifrar las contraseñas almacenadas y acceder a ellas. (Si no quieres confiar en mi palabra, esta es una forma sencilla de convencerte de que esto es posible: el navegador Firefox puede descifrarlos sin preguntarte ningún secreto).

En Firefox, los complementos pueden ejecutar código nativo, por lo que pueden acceder al sistema de archivos. Por lo tanto, pueden capturar y descifrar todas las contraseñas almacenadas. También pueden exfiltrarlos a través de la red, si así lo desean.

En Firefox, las extensiones pueden ejecutar comandos de shell arbitrarios y acceder al sistema de archivos, por lo que también pueden capturar y descifrar todas las contraseñas almacenadas y eliminarlas por la red.

Hay un proceso de revisión ligero para las extensiones populares de Firefox, lo que podría hacer que sea más difícil para las extensiones no sofisticadas montar un ataque de este tipo. Sin embargo, este proceso de revisión puede ser fácilmente subvertido por malware: las extensiones pueden cargar dinámicamente el código de fuentes externas (por ejemplo, a través de <SCRIPT SRC=...> o eval ), y el atacante puede organizar que el código cargado externamente sea benigno durante la revisión y malicioso durante la ejecución.

Por lo tanto, no hay nada que realmente impida que un complemento malintencionado de Firefox o una extensión de Firefox realice este tipo de ataque.

(Curiosamente, el sistema de extensión de Chrome tiene una mejor protección contra este tipo de ataque, para las extensiones).

    
respondido por el D.W. 04.08.2011 - 06:39
fuente
2

Una vez que ejecute software no confiable en su máquina, ya no es su máquina y debe asumir que todo está comprometido. Las contraseñas existen como texto sin formato en algún momento, y por lo tanto pueden ser capturadas y enviadas a un atacante.

Firefox hace varias cosas para hacer que la captura de esas contraseñas sea más difícil: las cifra (pero esta codificación es débil); le permite asegurarlos con una contraseña maestra; mantiene el archivo (parcialmente) encriptado en un directorio con un nombre aleatorio; Probablemente sea más fácil atacar otras partes del sistema; , por ejemplo, hay extensiones de Firefox con registro de teclas.

Aquí hay un documento antiguo que habla sobre la seguridad de la contraseña guardada:

enlace

Aquí hay un software para atacar las contraseñas de Firefox (pero no como un complemento del navegador, por lo que no responde la pregunta)

enlace

Aquí hay un enlace a una buena respuesta en superusuario:

enlace

    
respondido por el DanBeale 03.08.2011 - 20:52
fuente

Lea otras preguntas en las etiquetas