4 mei 2015 10:48

Googles browserextensie tegen phishing lek als een zeef

Er waren maar enkele regels code nodig om de anti-phishing tool van Google om de tuin te leiden. Een snelle patch bleek niet voldoende om het probleem op te lossen.

Google lanceerde vorige week een browserextensie om phishing tegen te gaan. Het duurde niet lang of de extensie, Password Alert genaamd, werd al om de tuin geleid. Google kwam snel met een oplossing voor het probleem, maar dat bleek niet voldoende.

Password Alert is een extensie voor Google Chrome en werd ontwikkeld om gebruikers te alarmeren wanneer ze op een valse website terecht zijn gekomen die zich voordoet als een website van Google, om zo je inloggegevens te ontfutselen. Wanneer je je Google-login ingeeft op een website die niet van Google is, verschijnt een waarschuwing die je op andere gedachten moet zetten.

[related_article id=”158901″]

Veiligheidsconsultant Paul Moore plaatste eind vorige week een video op Youtube waarin hij demonstreert hoe de extensie kan worden omzeild door zeven regeltjes code aan een website toe te voegen.

Moore maakte een valse aanmeldpagina die op het eerste zich identiek is aan een echte pagina van Google. In de code had hij enkele regels JavaScript verwerkt, waardoor de waarschuwing van Password Alert maar 5 milliseconden verscheen. Het bericht werd daardoor nagenoeg onmogelijk om te zien, zodat gebruikers toch nog in de val konden trappen.

Kort na het bekendmaken van de ontdekking, kondigde een security engineer van Google via Twitter aan dat het lek werd gedicht in versie 1.4 van de extensie. Ook die versie wist Moore echter al snel te kraken. Google heeft ondertussen een update naar versie 1.6 uitgerold, maar ook die werd naar verluidt reeds omzeild.

@Paul_Reviews It"s now fixed in 1.4. To update quickly, go to chrome://extensions/ , enable developer mode, click update extensions now.
— Drew Hintz (@DrewHintz) May 1, 2015

#Google #PasswordAlert version 1.4 bypassed, again! cc @dangoodin001 @jleyden @gcluley @troyhunt @EduardKovacs pic.twitter.com/JrvrlFBYWN
— Paul Moore (@Paul_Reviews) May 1, 2015

Yet another bypass for #Google #PasswordAlert v1.6 http://t.co/U0DKVfzmnO Credit to @FalleStar #phishing #phail #infosec #pastAJoke
— Paul Moore (@Paul_Reviews) May 3, 2015

Schrijf je in op onze nieuwsbrief en ontvang elke werkdag het beste uit de techwereld in je mailbox.

Redactie TechPulse

Googles browserextensie tegen phishing lek als een zeef

Schrijf je in op onze nieuwsbrief en ontvang elke werkdag het beste uit de techwereld in je mailbox.

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Trending berichten

Business