글쎄요, 그리 오래 걸리지는 않았어요.
데뷔한지 하루도 안됐는데, 개념 증명 익스플로잇 Chrome의 새로운 확장 프로그램을 통해 피싱 시도로부터 사람들의 비밀번호를 보호하려는 Google의 노력을 속이는 내용이 게시되었습니다.
이 익스플로잇을 작성한 영국 소재 Urity Group의 정보 보안 컨설턴트인 Paul Moore는 "믿을 수 없을 정도입니다."라고 말했습니다. "실제 수준의 보호를 제공한다는 제안은 우스꽝스럽습니다."
관련된
- 지금 Google Chrome 브라우저를 업데이트하세요. 새로운 악용으로 인해 해킹에 노출될 수 있습니다.
그만큼 비밀번호 경보 확장 프로그램 알려진 위협 데이터베이스를 검색하고 Google 계정에 로그인하도록 요청한 모든 페이지에 대해 이를 실행하여 피싱 시도를 적극적으로 감시할 수 있어야 했습니다.
추천 동영상
일부 사람들은 확장을 통해 유사한 서비스를 활용하는 다양한 회사, 특히 다음과 같은 회사가 생겨날 수 있기를 바랐습니다. 페이스북 웹 전체의 목적지에 로그인 정보를 임대하는 Twitter 등이 있습니다.
하지만 사기 발생 시 나타나는 경고 배너를 제어하는 Javascript 블록만 제거하면 됩니다. 사이트가 감지되면 Moore는 자신이 설정한 피싱 포털이 합법적이라고 생각하도록 확장 프로그램을 속일 수 있었습니다. 자원.
Google은 특정 진입 경로를 차단하기 위해 서비스를 신속하게 업데이트하여 문제에 대응했습니다. 그러나 그로부터 하루 만에 Moore는 두 가지 업데이트를 우회하는 두 번째 크랙을 가지고 돌아왔습니다. 실패하다.
이 반복은 모든 문자를 입력한 후 페이지를 새로 고치는 방식으로 작동합니다. 이렇게 하면 경고 시스템이 처음에 전체 비밀번호를 입력한 적이 없다고 생각하도록 속입니다.
다행스럽게도 무어는 이 싸움에서 좋은 편에 섰고 기꺼이 Google의 코를 비비고 있었습니다. 화이트햇 커뮤니티가 일시적인 수정 사항을 제공할 수 있도록 그의 작업 세부 사항을 널리 게시하기 전에 실수를 저질렀습니다. 보상하다.
우리에게 묻는다면 Google은 이와 같은 중요한 서비스를 출시하기 전에 화이트보드를 좀 더 세게 칠해야 할 것입니다. 그래야 우리의 모든 비밀번호가 먼저 적의 손에 들어가지 않을 것입니다.
편집자의 추천
- Chrome 확장 프로그램 중 절반이 개인 데이터를 수집할 수 있습니다.
- Google에 따르면 Chrome 사용자의 비밀번호 중 1.5%가 손상된 것으로 알려져 있습니다.
당신의 라이프스타일을 업그레이드하세요Digital Trends는 독자들이 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 빠르게 변화하는 기술 세계를 계속 확인할 수 있도록 도와줍니다.
