まあ、それほど時間はかかりませんでした。
デビューから1日も経たないうちに、 概念実証エクスプロイト Chrome の新しい拡張機能を使用してフィッシング攻撃からユーザーのパスワードを保護するという Google の取り組みを欺く投稿が投稿されました。
「信じられないほどだ」と、このエクスプロイトを作成した英国に本拠を置くユリティ・グループの情報セキュリティ・コンサルタント、ポール・ムーア氏は語った。 「実際のレベルの保護を提供するという提案は滑稽です。」
関連している
- 今すぐ Google Chrome ブラウザを更新してください: 新しいエクスプロイトによりハッキングの危険にさらされる可能性があります
の パスワード アラート拡張機能 は、既知の脅威のデータベースをスキャンし、Google アカウントのログインを要求するページに対してデータベースを実行することで、フィッシングの試みを積極的に監視できるはずでした。
おすすめ動画
この拡張機能により、同様のサービス、特に次のような企業が利用できるようになるのではないかと期待する人もいました。 フェイスブック Twitter はログインを Web 上の目的地にリースします。
ただし、詐欺行為時に表示される警告バナーを制御する Javascript ブロックを削除するだけで、 サイトが検出されると、ムーアは拡張機能をだまして、自分が設定したフィッシング ポータルが正規のものであると思わせることができました。 リソース。
Googleは、その特定の侵入経路をブロックするためにサービスを迅速に更新することで問題に対応しました。 しかしそのわずか 1 日後、ムーアは両方のアップデートを回避する 2 番目のクラックを持って戻ってきました。 失敗。
この繰り返しは、すべての文字が入力された後にページを更新することで機能し、警告システムをだまして完全なパスワードが最初から入力されていないと認識させます。
残りの我々にとって幸運なことに、ムーア氏はこの戦いでは善良な側にいて、Googleの鼻をこすりつけることに積極的だった。 ホワイトハットコミュニティが一時的な修正を提供できるように、彼の仕事の詳細を広く公開する前に、その間違いを明らかにしました。 補償する。
私たちに言わせれば、Google はこのような重要なサービスを展開する前に、すべてのパスワードが最初に敵の手に渡らないように、おそらくもう少し厳しくホワイトボードに取り組む必要があるでしょう。
編集者のおすすめ
- Google Chrome 拡張機能の半分が個人データを収集している可能性があります
- Google によると、Chrome ユーザーのパスワードの 1.5% が侵害されていることがわかっています
ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。
