Bezbednosni propusti u Googleovoj novoj Chrome ekstenziji za zaštitu od fišinga

Googleova ekstenzija za Chrome Password Alert koja je objavljena u sredu dobila je zakrpu za prvi kritični bezbednosni propust i to samo dan posle objavljivanja, pošto je britanski istraživač Pol Mur demonstrirao svojexploit kojim se zaobilazi ovo upozorenje.v1_5545_Password Alert

Password Alert upozorava korisnike kada greškom unesu Google lozinku na fišing stranicu kako bi se sprečilo preotimanje naloga korisnika. Ekstenzija čuva korisnikovu Google lozinku šifrovanu u jednom smeru u formatu poznatom kao kriptografski hash. Ako korisnik ukuca istu lozinku na web sajt koji nije Googleov, ekstenzija će ga upozoriti da je lozinka kompromitovana i da bi trebalo da je odmah promeni. Password Alert će objaviti isto upozorenje i kada korisnici koriste svoju Google lozinku za prijavljivanje na druge legitimne sajtove.

Za korisnike koji su skloni da ignorišu ovakav savet, upozorenja imaju opciju “always ignore this website”. Ako korisnik pritisne to dugme, upozorenje se nikada neće pojaviti na tom sajtu iako nije Googleov web sajt.

Pol Mur je da bi demonstrirao kako je moguće izbeći ovo upozorenje napravio stranicu koja veoma liči na Googleovu stranicu za prijavljivanje na nalog, i ubacio svoj kod koji traži warning_banner, prozor koji dodatak Password Alert kreira kada otkrije fišing sajt, i kada ga pronađe on ga uklanja.

Ovo se ponavlja svakih pet milisekundi, tako da se upozorenje uklanja tako brzo da korisnik neće ni primetiti njegovo pojavljivanje.

Mur kaže da je priča da ova ekstenzija nudi neki pravi nivo zaštite smešna. On je savetovao Googleu da preporuči korisnicima da umesto ekstenzije koriste menadžere lozinki, jer lako mogu biti prevareni fišing stranicama.

I posle objavljene ispravke za bezbednosni propust, Muru je ponovo uspelo da prevari Password Alert, ovoga puta tako što njegov kod osvežava stranicu pregledača posle unošenja svakog karaktera lozinke, sprečavajući tako pokretanje upozorenja.

izvor: http://www.informacija.rs