Se é um utilizador do Google Chrome, reconhece decerto o pequeno pop-up do browser que lhe pergunta se quer guardar as suas credenciais sempre que faz a autenticação em algum website. Mas será mesmo seguro guardar todas as passwords no navegador?

De acordo com os investigadores da ESET, o mecanismo usado pelo Google Chrome representa um risco de segurança em situações em que os equipamentos usados já foram anteriormente comprometidos. Além disso, a funcionalidade pode representar um vetor de ataque que pode ser facilmente explorado por atacantes.

Como é que o navegador da Google guarda as credenciais dos utilizadores? A empresa de cibersegurança explica que ao clicarmos em “Aceitar” estamos a dar autorização ao Google para guardar as nossas informações de login no computador numa base de dados SQLite3.

O ficheiro que contém a base de dados, que pode ser encontrado seguindo o endereço %LocalAppData%\Google\Chrome\User Data\Default\Login Data, é apenas utilizado pelo Google Chrome.

Base de dados | Google Chrome
Base de dados | Google Chrome Estrutura da base de dados usada pelo Google Chrome para armazenar as credenciais de acesso. créditos: ESET

A estrutura interna da base de dados está organizada por tabelas que têm todas as informações necessárias para que o mecanismo funcione. Aqui, a tabela “logins” é a que assume mais importância, uma vez que contém os nossos usernames, passwords e endereços dos websites onde as credenciais foram utilizadas.

Por motivos de segurança, as passwords são todas encriptadas. Por exemplo, em computadores com sistemas operativos da Microsoft, o Google Chrome recorre à CryptProtectData, uma funcionalidade de criptografia do Windows.

Os especialistas da ESET indicam que, ao contrário da maioria das funcionalidades de encriptação, aquela que é utilizada pelo Windows recorre às credenciais de acesso do utilizador do próprio sistema operativo. Na prática, um cibercriminoso que quisesse roubar as credenciais teria primeiro de desencriptá-las, entrando no computador através da conta do utilizador que as criou.

Assim, um atacante que tenha acesso ao computador, pode facilmente obter as credenciais, desencriptá-las e roubá-las, numa tática que já foi anteriormente observada pela ESET em vários códigos maliciosos ou em ataques de trojans bancários na América Latina.

Como é que um hacker consegue aceder às nossas credenciais?

A empresa de cibersegurança indica que a dinâmica dos ataques é relativamente simples e que os hackers conseguem facilmente aceder ao conteúdo das tabelas da base de dados do Google Chrome.

Um cibercriminoso que tivesse acesso ao computador poderia abrir a base de dados através de um programa específico e descobrir entradas onde se encontram as informações de login, incluindo o endereço do website, o nome do utilizador e a password. Para desencriptar as credenciais, o hacker usaria depois a funcionalidade CryptUnprotectData do Windows.

Base de dados | Google Chrome
Base de dados | Google Chrome Através de um programa específico que permita visualizar bases de dados, os atacantes podem descobrir entradas onde se encontram as informações de login. créditos: ESET

Segundo os especialistas, todos os passos podem ser feitos de forma rápida e automática através de malware. Porém, há mais riscos a ter em conta: existem vários programas disponíveis online que são capazes de realizar o mesmo processo, permitindo que alguém que tenha acesso físico a um computador desbloqueado consiga roubar as credenciais, mesmo que não tenha muitos conhecimentos técnicos.

Assim, a ESET recomenda não usar a funcionalidade de armazenamento de passwords do Google Chrome, em especial, no que toca a serviços de home banking ou páginas que contenham informações pessoais, como websites médicos.