To rozszerzenie miało chronić nasze hasła. Okazało się, że...

Kilka dni temu Google zaprezentował specjalne rozszerzenie, które miało zapewnić bezpieczeństwo hasła do Gmaila. W zaledwie kilka dni znaleziono trzy sposoby, by je obejść.

Password Alert to rozszerzenie do przeglądarki Chrome, które Google zaprezentował oficjalnie w zeszłym tygodniu. Ma ważne zadanie: ostrzega, kiedy nasze hasło do usług Google zostało przejęte przez witryny podszywające się pod Gmaila czy YouTube.

Kiedy logujemy się na "fałszywą" stronę, np. podszywającą się pod Gmail.com, w rzeczywistości przekazujemy nasz login i hasło cyberprzestępcom. A ci mając nasze dane mogą zablokować dostęp do konta i atakować z użyciem naszego adresu - logować się do różnych usług i innych kont. Z rozszerzeniem Password Alert zainstalowanym w przeglądarce takie działanie byłoby utrudnione - algorytm miałby rozpoznać, że jakaś udająca usługi Google strona przejęła nasze hasło. W przeglądarce zobaczymy alert: ktoś przejął twoje hasło, jak najszybciej je zmień.

Działanie rozszerzenia wydaje się logiczne: wykrywa przejęcie hasła i daje nam szansę zareagować.

Niestety w zaledwie kilka dni od prezentacji rozszerzenia zaprezentowano aż trzy metody jego obejścia. Cyberprzestępcy stosując je są w stanie "wyłączyć" Password Alert - użytkownik nie zostanie powiadomiony o przejęciu hasła.

Jak informuje Niebezpiecznik.pl pierwszy sposób na oszukanie Password Alert pewien informatyk odnalazł... w dwie minuty. Wystarczyło potraktować wyskakujący komunikat Password Alert, informujący o przejęciu hasła, jak wyskakujące okno. I zablokować je na podobnej zasadzie. Użytkownik, który nie widzi powiadomień, nie wie, że jego konto jest przejęte.

Tę usterkę Google naprawiło bardzo szybko. Równie szybko pojawił się drugi sposób. Złośliwa strona przeładowuje stronę podczas wpisywania hasła przez użytkownika.

drugie obejście, które polega na odświeżaniu strony po wprowadzeniu przez użytkownika każdego znaku hasła. To powoduje, że rozszerzenie nigdy nie widzi całości hasła użytkownika, a więc nigdy nie ostrzeże użytkownika przed wyciekiem hasła, bo zawsze będzie myślało, że wprowadzane hasło jest inne od prawdziwego hasła do konta Google.

Sposób nie jest najwygodniejszy, ale może być bardzo skuteczny. Jakby tego było mało - hakerzy testują już trzeci sposób obejścia Password Alert, który blokuje rozszerzeniu Google możliwość wykrycia zmiany hasła.

Cała sprawa jest dowodem na to, że cyberprzestępcy i hakerzy zawsze znajdą sposób, by obejść zabezpieczenie. W przypadku Password Alert udało się to na tyle szybko, że można zaryzykować stwierdzenie: przed udostępnieniem rozszerzenia użytkownikom Google powinien lepiej je przetestować. Bo czy teraz ktoś zaufa "kłódce", którą udało się otworzyć bez klucza trzykrotnie?

Więcej o:
Komentarze (8)
To rozszerzenie miało chronić nasze hasła. Okazało się, że...
Zaloguj się
  • jan.blokers

    Oceniono 22 razy 20

    "Kiedy logujemy się na "fałszywą" stronę np. Gmail.com" podana przykładowa strona akurat należy do Google Inc. i przekierowuje od niepamiętnych czasów do strony do logowania do usługi konta email firmy Google. Chyba, że już przepracowany jestem i coś źle czytam ;)

  • kchc

    Oceniono 4 razy 2

    "Działanie rozszerzenia wydaje się logiczne: wykrywa przejęcie hasła i daje nam szansę na zareagować."
    Czy pan Kędzierski umieć polski? Jeżeli tak, to ma szansę na poprawić.

  • neo_z_matrixa

    Oceniono 22 razy 0

    .

    Witamy w Matrixie .... pejsbuk, gmail, google ... oj naiwni, naiwni ___ analitycy z Goldman Sachs i Mosadu już mają was w swoich szponach

    .

Aby ocenić zaloguj się lub zarejestrujX