![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Wer unter Linux den Google Chrome-Browser einsetzt, sollte sich \u00fcber eines im Klaren sein. Dort verwendete Passw\u00f6rter liegen eventuell im Klartext vor. Hier einige Informationen, die mit Blog-Leser Malte als Gastbeitrag zur Verf\u00fcgung gestellt hat.<\/p>\n
<\/p>\n
Die allgemeine Vorstellung ist ja: Mit Linux ist vieles besser. Das trifft aber nicht immer zu, denn die Software-Entwickler k\u00f6nnen patzen. Malte schreibt, dass Google es Hackern und Dieben auf Rechnern mit Linux viel zu einfach mache. Denn unter bestimmten Umst\u00e4nden werden die Passw\u00f6rter des Google Chrome-\/Chromium-Browsers im Klartext gespeichert. Dann kann Malware diese Passw\u00f6rter ganz einfach auslesen, kopieren und weiterverwenden.<\/p>\n
Chrome scheint auf den ersten Blick unter Windows sicherer zu sein. Standardm\u00e4\u00dfig verschl\u00fcsselt Chrome Passw\u00f6rter auf Windows-Maschinen mit der Windows API-Funktion CryptProtectedData<\/em>. Dabei verwendet die API-Funktion die Benutzeranmeldeinformationen (Benutzername und Passwort) des lokalen Benutzers und des lokalen Computers selbst. Selbst wenn ein Angreifer \u00fcber die Benutzer-Anmeldeinformationen verf\u00fcgt, k\u00f6nnen die Passw\u00f6rter nur dann entschl\u00fcsselt werden, wenn sich der Angreifer auf dem lokalen Computer befindet.<\/p>\n Google Chrome verschl\u00fcsselt Passw\u00f6rter unter Linux nur, wenn eine Verschl\u00fcsselungsmethode gefunden wird, mit der der Browser arbeiten kann. Chrome-Passw\u00f6rter auf Linux-Maschinen, die mit Gnome-Keyring oder KWallet installiert wurden, sind verschl\u00fcsselt. In anderen F\u00e4llen – in der Regel, wenn Leute eine benutzerdefinierte Linux-Installation z.B. Arch Linux mit erweiterten Einstellungen durchf\u00fchren, ist m\u00f6glicherweise kein g\u00fcltiger Verschl\u00fcsselungsmechanismus verf\u00fcgbar. In diesem Fall werden die Passw\u00f6rter im Klartext gespeichert. Jeder, der Zugriff auf die Dateien oder den Computer hat, kann die Passw\u00f6rter einsehen, ohne das Computer\/Benutzer Passwort kennen zu m\u00fcssen.<\/p>\n Die Verwendung der oben erw\u00e4hnten Kwallet und Gnome-Keyring bieten auch keine vollst\u00e4ndige Sicherheit. Denn auch diese Passwort-Mananger sind f\u00fcr lokale Angreifer hackbar. Man kann mit einem einfachen Kommandozeilenbefehl alle Passw\u00f6rter die im Klartext sind, ganz einfach auslesen, wie folgender Tweet<\/a> zeigt<\/p>\n By the way, you can easily extract the chrome passwords. \u2014 ZeroDot1:) (@hobbygrafix) 6. Februar 2019<\/a><\/p><\/blockquote>\nGoogle Chrome: Die Situation unter Linux<\/h2>\n
\n
\nsqlite3 -header -csv -separator \",\" ~\/.config\/chromium\/Default\/Login\\ Data \"SELECT * FROM logins\" > ~\/Passwords.csv
\nSo, the chrome password manager is definitely not safe.<\/p>\n