Eh bien, cela n'a pas pris très longtemps.
Pas même un jour après ses débuts, un exploit de preuve de concept a été publié, ce qui trompe les efforts de Google visant à protéger les mots de passe des utilisateurs contre les tentatives de phishing grâce à une nouvelle extension dans Chrome.
"Cela dépasse l'entendement", a déclaré Paul Moore, consultant en sécurité de l'information chez Urity Group, basé au Royaume-Uni, qui a écrit l'exploit. « La suggestion selon laquelle il offre un véritable niveau de protection est risible. »
En rapport
- Mettez à jour votre navigateur Google Chrome maintenant: un nouvel exploit pourrait vous exposer aux piratages
Le Extension d'alerte de mot de passe était censé être capable de surveiller activement les tentatives de phishing en analysant les bases de données des menaces connues et en les exécutant sur toutes les pages demandant la connexion de votre compte Google.
Vidéos recommandées
Certains espéraient que l'extension pourrait permettre à toute une série d'entreprises de bénéficier de services similaires, en particulier celles comme
Facebook et Twitter qui louent leurs connexions à des destinations partout sur le Web.Mais, en supprimant simplement le bloc Javascript qui contrôle la bannière d'avertissement qui apparaît en cas de fraude site est détecté, Moore a réussi à tromper l'extension en lui faisant croire que son portail de phishing configuré était un site légitime. Ressource.
Google a répondu au problème en mettant rapidement à jour son service pour bloquer cette voie d'entrée spécifique, mais juste un jour après, Moore est revenu avec un deuxième crack qui a contourné les deux mises à jour sans échouer.
Cette itération fonctionne en actualisant la page après la saisie de chaque caractère, ce qui fait croire au système d'avertissement que le mot de passe complet n'a jamais été saisi en premier lieu.
Heureusement pour nous tous, Moore est du côté des gentils dans ce combat et était plus que disposé à se frotter au nez de Google. ses erreurs avant de publier largement les détails de son travail afin que la communauté whitehat puisse fournir une solution temporaire à compenser.
Si vous nous le demandez, Google devra probablement frapper un peu plus fort sur le tableau blanc avant de déployer des services cruciaux comme celui-ci, de peur que tous nos mots de passe ne finissent d'abord entre les mains de l'ennemi.
Recommandations des rédacteurs
- La moitié des extensions Google Chrome peuvent collecter vos données personnelles
- 1,5 % des mots de passe des utilisateurs de Chrome sont compromis, selon Google
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
