Trügerische Sicherheit: Googles Phishingschutz lässt sich überlisten

Internet, Spam, Betrug, Phishing, Abzocke Bildquelle: betacontinua / Flickr
Kaum hatte Google das neue Chrome-Addon "Password Alert" veröffentlicht, gab es auch schon den ersten Exploit. Mittlerweile hat Google zwar nachgebessert, aber auch die neueste Version der Erweiterung bietet nur einen trügerischen Schutz.
So gut und praktisch wie angekündigt ist Googles neue "Geheimwaffe" gegen Phishing-Attacken damit nun also nicht. Eigentlich soll die Erweiterung namens Password Alert dabei helfen, Anmeldungen mit dem Google-Account auf so genannten Phishing-Seiten zu verhindern: jedes Mal, wenn auf einer manipulierten, vermeintlichen Google-Seite das Passwort eingegeben wird, gibt das Addon eine Warnung aus. Google Password AlertDas Plugin soll eigentlich Sicherheit vermitteln. "Ihr Gmail-Passwort wurde gerade auf einer anderen Seite als der Gmail-Anmeldeseite eingegeben. Sie sollten Ihr Passwort sofort zurücksetzen, um die Sicherheit ihres Gmail-Kontos sicherzustellen. Bitte achten Sie zudem darauf, Ihr Gmail-Passwort nicht auch für andere Dienste zu verwenden."

Mehr dazu: Google: Neues Chrome-Addon schützt Nutzer vor Phishing-Angriffen

Dem Sicherheitsforscher Paul Moore ist es nun in den letzten Tagen gleich mehrfach gelungen, diesen Schutz zu umgehen. Zunächst trickste er das Addon mit ein paar Zeilen Code aus. In einem Video zeigte er den Hack als Proof of Concept. Dabei musste Moore gar nicht viel ändern, um der Sicherheitswarnung des Addons zu umgehen.

So einfach lässt es sich umgehen

Ein wenig JavaScript und die Warnung ist ausgehebelt. Er manipulierte lediglich die Anzeigedauer der Warnmeldung, sodass sie mit gerade einmal 5 Millisekunden nur so kurz aufflackert, dass sie von einem normalen Nutzer gar nicht wahrgenommen werden kann. Paul Moore sagte in einem Interview mit dem Magazin Forbes, dass ihn die Unbedarftheit bei Google zum Thema Sicherheit abschreckt. So etwas dürfe nicht passieren.

Selbst für einen erfahrenen Internetnutzer täuscht eine solche Erweiterung die Sicherheit nur vor. dabei müsse man sich eigentlich auf ein "Sicherheitsversprechen" des Unternehmens verlassen müssen. Auch Passwortexperte Per Thorsheim hält Googles Vorstoß in der jetzigen Form für ungeeignet.

Updates häufen sich

Google hat zwar rasch auf diese Umgehung reagiert und ein Update für die Chrome-Erweiterung herausgegeben. Seither folgten innerhalb einer Woche noch zwei weitere Aktualisierungen. Allerdings ist auch PasswordAlert v1.6 nicht sicher vor einer Umgehung der Sicherheitsschranke, und damit auch nicht vor potentiellen Angreifern. Internet, Spam, Betrug, Phishing, Abzocke Internet, Spam, Betrug, Phishing, Abzocke betacontinua / Flickr
Mehr zum Thema: Chrome
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr tax 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
tax 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
Original Amazon-Preis
12,98
Im Preisvergleich ab
10,95
Blitzangebot-Preis
7,59
Ersparnis zu Amazon 42% oder 5,39

Tipp einsenden