Reventando contraseñas en Google Chrome

Hace unos días instalé una actualización que dejó inservible mi navegador Iron basado en Chromium.

Para evitar nuevas dificultades en un software que, por mucho que me guste, puede dar errores o dejar de actualizarse en cualquier momento, decidí pasarme a Google Chrome, a pesar de la desconfianza que genera, debido a su merecida fama de intruso y espía  recolector de nuestras búsquedas y de los sitios web que visitamos.

Para evitar este primer problema desactivé en Preferencias el Omnibox y todo aquello que supuestamente ‘predice’ (y de paso envía a Google) mi actividad.

También desactivé la opción de preguntar si quiero guardar mis contraseñas… pero, ¿qué queréis que os diga?, soy perezoso y hoy he decidido investigar dónde se guardan nuestras contraseñas y hasta qué punto supone una amenza a nuestra seguridad utilizar esta ‘cómoda ayuda’ que Chrome nos ofrece.

He hallado un interesante sitio que explica por qué no debemos almacenar, bajo ningún concepto, contraseñas en Google Chrome. Doy las gracias a teknoPLOF! por su investigación al respecto y por su magnífico sitio que nos pone al día sobre cosas tan importantes como la seguridad en la navegación.

Copio parte de su post y enlazo la totalidad para que visitéis su site si estáis interesados.

Haremos una prueba muy sencillita para ver cómo se puede acceder a una contraseña almacenada de forma fácil y hasta divertida. Voy a entrar en mi cuenta de Facebook con Google Chrome.

Paso 1

Una vez he hecho login, Chrome me pregunta (en una barra superior) a ver si quiero que guarde la contraseña en una cookie para que no tenga que andar escribiéndola posteriormente. Le digo que sí, que la almacene, que soy un vago y no quiero volvérsela a meter.

Paso 2

Ahora cierro la sesión, me salgo y cierro también Chrome. Vuelvo a abrir una nueva instancia y accedo a la URL de Facebook. ¡Magia! Chrome ha reconocido el sitio y me ha colocado automáticamente nombre de usuario, en este caso la dirección de e-mail, y contraseña en sus respectivas cajas de texto, coloreándolas en amarillo para que yo sepa que son datos guardados por él.

Paso 3

Lo único que tendría que hacer en este momento es darle al botón Entrar y listo. Pero no lo voy a hacer, porque ahora es cuando viene lo mejor: el password crack. Me coloco sobre la caja de contraseña y hago clic con el botón derecho, seleccionandoInspeccionar elemento. En la zona inferior del navegador se despliegan los paneles de herramientas para desarrolladores. Automáticamente me habrá colocado en el panelElements (el primero) y estaré viendo el código HTML de la página de inicio de Facebook.

Paso 4

Además, la línea automáticamente seleccionada (con sombra gris) es el HTML correspondiente al elemento en el que yo había hecho clic derecho, es decir, la caja de texto para la contraseña.

Paso 5

Como podemos observar, es, lógicamente, una etiqueta <input> del tipo password, esto es, un cuadro de introducción de caracteres en el que, al escribir, aparecen asteriscos o puntos, ocultando lo tecleado. Pues bien, si ahora hago clic derecho justo encima de password y selecciono la opción Edit attribute del menú contextual correspondiente, la herramienta me permite cambiar al valor del atributo type.

Paso 6

Sólo tengo que borrar password y escribir text, es decir, un valor de atributo que convierte la caja de texto en una caja normal y corriente, sin características de contraseña ni nada por el estilo. ¡Magia otra vez! Ahora estaré viendo en el cuadro de la contraseña mi fabulosa clave de acceso en todo su esplendor. ¿Cómo se te queda el cuerpo?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s