Bueno, eso no tomó mucho tiempo.
Ni siquiera un día después de su debut, un exploit de prueba de concepto se ha publicado que engaña el impulso de Google para proteger las contraseñas de las personas de intentos de phishing a través de una nueva extensión en Chrome.
"Es increíble", dijo Paul Moore, consultor de seguridad de la información de Urity Group, con sede en el Reino Unido, quien escribió el exploit. "La sugerencia de que ofrece algún nivel real de protección es ridícula".
Relacionado
- Actualice su navegador Google Chrome ahora: un nuevo exploit podría dejarlo expuesto a ataques
El Extensión de alerta de contraseña Se suponía que podía vigilar activamente los intentos de phishing escaneando bases de datos de amenazas conocidas y ejecutándolas en cualquier página que solicitara iniciar sesión en su cuenta de Google.
Vídeos recomendados
Algunos esperaban que la extensión pudiera dar paso a que toda una gama de empresas aprovecharan servicios similares, especialmente aquellas como Facebook y Twitter, que alquilan sus inicios de sesión a destinos en toda la web.
Pero, simplemente eliminando el bloque de Javascript que controla el banner de advertencia que aparece cuando se realiza un intento fraudulento. Cuando se detecta un sitio, Moore pudo engañar a la extensión haciéndole creer que su portal de phishing configurado era legítimo. recurso.
Google respondió al problema actualizando rápidamente su servicio para bloquear esa ruta de entrada específica. pero apenas un día después, Moore regresó con un segundo crack que eludió ambas actualizaciones sin fallar.
Esta iteración funciona actualizando la página después de escribir cada carácter, lo que engaña al sistema de advertencia haciéndole pensar que, en primer lugar, nunca se ingresó la contraseña completa.
Afortunadamente para el resto de nosotros, Moore está del lado de los buenos en esta pelea y estaba más que dispuesto a frotarle las narices a Google. sus errores antes de publicar ampliamente los detalles de su trabajo para que la comunidad whitehat pudiera proporcionar una solución temporal a compensar.
Si nos preguntas, Google probablemente necesite trabajar un poco más en la pizarra antes de implementar servicios cruciales como este, no sea que todas nuestras contraseñas terminen primero en manos del enemigo.
Recomendaciones de los editores
- La mitad de las extensiones de Google Chrome pueden estar recopilando tus datos personales
- Según Google, el 1,5% de las contraseñas de los usuarios de Chrome están comprometidas
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.
