USD 66.43 ЕВРО 75.39

Уязвимость в Google Password Alert

Экономика

Потребовалось всего семь строк кода, чтобы обмануть антифишинговый инструмент. Google исправила проблему, но по-видимому, была выявлена новая уязвимость.

Всего день потребовался для того, чтобы антифишинговое расширение Google Chrome стало уязвимым для угроз, от которых оно пыталось уберечь пользователя.

Консультант по информационной безопасности Пол Мур в четверг загрузил видео на YouTube, показывающее, как новая система Password Alert может быть обманута с помощью всего семи строк в коде веб-сайта. Password Alert — бесплатное расширение для браузера Chrome было представлено в среду. Инструмент предназначен для предупреждения пользователей, если они заходят на вредоносный сайт, притворяющийся сайтом Google для того, чтобы украсть персональную информацию.

«Вкратце, тем, кто хочет использовать фишинговые атаки против Google-аккаунта, нужно просто добавить эти семь строк, чтобы сделать защиту Password Alert бесполезной», сказал Мур в интервью Forbes в пятницу. «Это, на самом деле, позор».

Вскоре после того, как Мур взломал расширение, Дрю Хинтц из Google сообщил в своем Твиттере, что уязвимость была исправлена, и пользователи могут обновить расширение, чтобы обезопасить себя.

Password Alert пытается сохранить в безопасности пароли, предотвращая ввод паролей Google на других сайтах и останавливая пользователей от повторного использования пароля Google на сайтах, не принадлежащих Google. Всякий раз, когда пароль Google вводится на сайте, не принадлежащем Google, появляется сообщение: «Ваш пароль Gmail был введен на странице, не являющейся страницей Gmail». Затем пользователям предлагается немедленно изменить их пароль к Gmail.

Идея работы Password Alert заключается в предотвращении фишинговых атак. Фишинг является методом, используемым хакерами, которые создают сайт, похожий на сайт легитимной компании или организации, чтобы украсть конфиденциальную информацию, такую как пароли, номера социального страхования или номера кредитных карт.

Как видно из видео, Мур создал поддельную страницу входа Google, которая, на первый взгляд, выглядела идентично реальной странице поисковой компании. Тем не менее, страница имела встроенный код JavaScript, который изменял работу Password Alert. Код уменьшал показ предупреждающего сообщения до пяти миллисекунд, что делало практически невозможным увидеть его, а в конечном счете, позволяло пользователям стать жертвой фишинг-атак.

Теперь ход за Google. В пятницу в Twitter Мур обнародовал уязвимость JavaScript, эксплуатируемую в последнем, исправленном обновлении. Google пока не отреагировала на эту уязвимость.