Bezbednosni propusti u Googleovoj novoj Chrome ekstenziji za zaštitu od fišinga
Vesti, 04.05.2015, 01:00 AM
Googleova ekstenzija za Chrome Password Alert koja je objavljena u sredu dobila je zakrpu za prvi kritični bezbednosni propust i to samo dan posle objavljivanja, pošto je britanski istraživač Pol Mur demonstrirao svoj exploit kojim se zaobilazi ovo upozorenje.
Password Alert upozorava korisnike kada greškom unesu Google lozinku na fišing stranicu kako bi se sprečilo preotimanje naloga korisnika. Ekstenzija čuva korisnikovu Google lozinku šifrovanu u jednom smeru u formatu poznatom kao kriptografski hash. Ako korisnik ukuca istu lozinku na web sajt koji nije Googleov, ekstenzija će ga upozoriti da je lozinka kompromitovana i da bi trebalo da je odmah promeni. Password Alert će objaviti isto upozorenje i kada korisnici koriste svoju Google lozinku za prijavljivanje na druge legitimne sajtove.
Za korisnike koji su skloni da ignorišu ovakav savet, upozorenja imaju opciju “always ignore this website”. Ako korisnik pritisne to dugme, upozorenje se nikada neće pojaviti na tom sajtu iako nije Googleov web sajt.
Pol Mur je da bi demonstrirao kako je moguće izbeći ovo upozorenje napravio stranicu koja veoma liči na Googleovu stranicu za prijavljivanje na nalog, i ubacio svoj kod koji traži warning_banner, prozor koji dodatak Password Alert kreira kada otkrije fišing sajt, i kada ga pronađe on ga uklanja.
Ovo se ponavlja svakih pet milisekundi, tako da se upozorenje uklanja tako brzo da korisnik neće ni primetiti njegovo pojavljivanje.
Mur kaže da je priča da ova ekstenzija nudi neki pravi nivo zaštite smešna. On je savetovao Googleu da preporuči korisnicima da umesto ekstenzije koriste menadžere lozinki, jer lako mogu biti prevareni fišing stranicama.
I posle objavljene ispravke za bezbednosni propust, Muru je ponovo uspelo da prevari Password Alert, ovoga puta tako što njegov kod osvežava stranicu pregledača posle unošenja svakog karaktera lozinke, sprečavajući tako pokretanje upozorenja.
Izdvojeno
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Piramidalna šema prevare na Telegramu
Istraživači kompanije Kasperski upozorili su na prevarante koji koriste sofisticiranu taktiku da ukradu Toncoine (TON) od korisnika Telegrama širom... Dalje
Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara
Da posao sa ransomwareom cveta pokazuju i podaci o ransomware grupi Akira koja je za manje od godinu dana rada iznudila milione od na stotine pogođen... Dalje
Pratite nas
Nagrade