Doar sapte linii de cod au fost necesare pentru a trece de Password Alert de la Google cand a fost lansat la începutul acestei săptămâni. Expert de securitate Paul Moore a intrat în extensia de browser Chrome, care avertizează utilizatorul atunci când tastați parola Google într-un site înșelător, sau site-uri phishing, cu un JavaScript simplu, care ar ucide alerte de îndată ce au început să apară.
Ca dovadă ca conceptul sau functioneaza, el a arătat ce se întâmpla atunci când a copiat-o pagină de autentificare Gmail, care nu include JavaScript-ul malefic, și a încercat să tasteze o parolă. Alertele au lucrat, dar nu au aparut atunci când a adăugat codul, care verifică orice banner de avertizare la fiecare cinci milisecunde și l-a făcut să dispară imediat cum a fost lansat. "Cum ruleaza foarte rapid, alerta dispare prea repede pentru a fi detectabil de către utilizator", a declarat Moore FORBES intr-un e-mail.
"Pe scurt, oricine caută pentru a lansa un atac de tip phishing impotriva unui cont Google, pur și simplu trebuie să adăugați aceste șapte linii pentru a face protecția Password Alert inutila ... E o rușine într-adevăr."
Expertul in parole Per Thorsheim a spus că oricine doreste utilizarea acestui instrumentului, chiar daca sunt simplii consumatori sau întreprinderi, ar trebui să efectueze o analiză de risc. "Este o idee nouă de la Google și ar trebui dezvoltat în continuare. În forma sa actuală nu arata bine. "
Google nu a raspuns la comentariu, dar a rezolvat acum problema cu versiunea 1.4, conform inginerului Google Drew Hintz. Dar profesioniști de securitate au subliniat alte probleme posibile cu aceasta tehnologie. Există potențial pentru un atac puternic în care o pagină malware ar putea genera tastari false în numele utilizatorului și apoi sa urmăreasca aparitia banner-ului de avertizare, deși Google a introdus numeroase protectii pentru aceasta.
Expert criptografie Steve Thomas a creat unele JavaScript-uri care el crede ar putea fi optimizate pentru a lansa un atac, care ar putea afla lungimea unei parole in timp ce utilizatorul o tasteaza. Dar, chiar și cu ajutorul lui Hintz, nu este inca functional.
Oricum, există evident moduri de a exploatare a alertei Google, chiar dacă este proiectat pentru a proteja oamenii de hackeri rau intetionati.
sursa: http://www.forbes.com
Niciun comentariu:
Trimiteți un comentariu