Anty-phishingowe rozszerzenie Google... łatwo obejść

Przez kilka dni eksperci ds bezpieczeństwa badali nowe rozszerzenie przeglądarki Chrome. I jak się okazuje - haker może obejść je z łatwością.

Rozszerzenie The Password Alert - w wersji polskiej Ochrona hasła - opisane jest przez Google następująco: "Jeśli wprowadzisz swoje hasło do Gmaila lub profilu Google for Work w witrynie innej niż accounts.google.com, zobaczysz ostrzeżenie, żebyś w razie potrzeby mógł zmienić hasło. Ochrona hasła stara się także wykrywać fałszywe strony logowania Google, aby móc ostrzegać Cię o tym, zanim wpiszesz hasło. W tym celu Ochrona hasła sprawdza, czy kod HTML każdej odwiedzanej przez Ciebie strony nie podszywa się pod stronę logowania Google. " Niestety, mimo dobrych chęci twórców, rozszerzenie nie spełnia swego zadania.

Rozszerzenie "Ochrona hasła" (foto: oficjalna strona)

Rozszerzenie "Ochrona hasła" (foto: oficjalna strona)

Eksperci pokazali Google dziewięć sposobów na oszukanie rozszerzenia, a Google w odpowiedzi wydało jego nową wersję, która ponowie została przetestowana. Jednak i tu można znaleźć kilka metod na ominięcie zabezpieczeń. Nie podano oczywiście tych sposobów ze względu na bezpieczeństwo użytkowników, tylko holenderska firma Securify pochwaliła się "zwycięstwem nad rozszerzeniem" dzięki użyciu Iframe w trybie piaskownicy. Dlaczego to takie ważne? Przeglądarka Chrome używana jest na ok. 25% komputerach świata, zajmując drugie miejsce za Internet Explorerem. Wszelkie możliwości ataku poprzez nią to zagrożenie bezpieczeństwa nie tylko dla firm, ale również i osób prywatnych.

Zobacz również:


Zobacz również