Trügerische Sicherheit: Googles Phishingschutz lässt sich überlisten
Kaum hatte Google das neue Chrome-Addon "Password Alert" veröffentlicht, gab es auch schon den ersten Exploit. Mittlerweile hat Google zwar nachgebessert, aber auch die neueste Version der Erweiterung bietet nur einen trügerischen Schutz.
So gut und praktisch wie angekündigt ist Googles neue "Geheimwaffe" gegen Phishing-Attacken damit nun also nicht. Eigentlich soll die Erweiterung namens Password Alert dabei helfen, Anmeldungen mit dem Google-Account auf so genannten Phishing-Seiten zu verhindern: jedes Mal, wenn auf einer manipulierten, vermeintlichen Google-Seite das Passwort eingegeben wird, gibt das Addon eine Warnung aus.
Das Plugin soll eigentlich Sicherheit vermitteln.
"Ihr Gmail-Passwort wurde gerade auf einer anderen Seite als der Gmail-Anmeldeseite eingegeben. Sie sollten Ihr Passwort sofort zurücksetzen, um die Sicherheit ihres Gmail-Kontos sicherzustellen. Bitte achten Sie zudem darauf, Ihr Gmail-Passwort nicht auch für andere Dienste zu verwenden."
Mehr dazu: Google: Neues Chrome-Addon schützt Nutzer vor Phishing-Angriffen
Dem Sicherheitsforscher Paul Moore ist es nun in den letzten Tagen gleich mehrfach gelungen, diesen Schutz zu umgehen. Zunächst trickste er das Addon mit ein paar Zeilen Code aus. In einem Video zeigte er den Hack als Proof of Concept. Dabei musste Moore gar nicht viel ändern, um der Sicherheitswarnung des Addons zu umgehen.
Selbst für einen erfahrenen Internetnutzer täuscht eine solche Erweiterung die Sicherheit nur vor. dabei müsse man sich eigentlich auf ein "Sicherheitsversprechen" des Unternehmens verlassen müssen. Auch Passwortexperte Per Thorsheim hält Googles Vorstoß in der jetzigen Form für ungeeignet.
Das Plugin soll eigentlich Sicherheit vermitteln.
"Ihr Gmail-Passwort wurde gerade auf einer anderen Seite als der Gmail-Anmeldeseite eingegeben. Sie sollten Ihr Passwort sofort zurücksetzen, um die Sicherheit ihres Gmail-Kontos sicherzustellen. Bitte achten Sie zudem darauf, Ihr Gmail-Passwort nicht auch für andere Dienste zu verwenden."
Mehr dazu: Google: Neues Chrome-Addon schützt Nutzer vor Phishing-Angriffen
Dem Sicherheitsforscher Paul Moore ist es nun in den letzten Tagen gleich mehrfach gelungen, diesen Schutz zu umgehen. Zunächst trickste er das Addon mit ein paar Zeilen Code aus. In einem Video zeigte er den Hack als Proof of Concept. Dabei musste Moore gar nicht viel ändern, um der Sicherheitswarnung des Addons zu umgehen.
So einfach lässt es sich umgehen
Ein wenig JavaScript und die Warnung ist ausgehebelt. Er manipulierte lediglich die Anzeigedauer der Warnmeldung, sodass sie mit gerade einmal 5 Millisekunden nur so kurz aufflackert, dass sie von einem normalen Nutzer gar nicht wahrgenommen werden kann. Paul Moore sagte in einem Interview mit dem Magazin Forbes, dass ihn die Unbedarftheit bei Google zum Thema Sicherheit abschreckt. So etwas dürfe nicht passieren.Selbst für einen erfahrenen Internetnutzer täuscht eine solche Erweiterung die Sicherheit nur vor. dabei müsse man sich eigentlich auf ein "Sicherheitsversprechen" des Unternehmens verlassen müssen. Auch Passwortexperte Per Thorsheim hält Googles Vorstoß in der jetzigen Form für ungeeignet.
Updates häufen sich
Google hat zwar rasch auf diese Umgehung reagiert und ein Update für die Chrome-Erweiterung herausgegeben. Seither folgten innerhalb einer Woche noch zwei weitere Aktualisierungen. Allerdings ist auch PasswordAlert v1.6 nicht sicher vor einer Umgehung der Sicherheitsschranke, und damit auch nicht vor potentiellen Angreifern.
Thema:
Aktuelle Chrome-Downloads
Videos über den Chrome-Browser
-
Chrome: Das sind die neun Feineinstellungen für das Werbetracking
-
Chrome und Edge 100: So macht man den Browser bei Problemen fit
-
Screenshots kompletter Webseiten im Chrome: So klappt es einfach
-
Chrome: So holt ihr "https" und "www" zurück in die Adressleiste
-
Chrome 70 bringt Progressive Web Apps für Windows 10-Desktops
Beiträge aus dem Forum
-
Wie kann ich mir in Google Chrome Cookies anzeigen lassen?
DON666 -
PDF Icon / Logo / Symbol ändern von Chrome als PDF Viewer, nur das Ico
Liftboy -
Sollte ich von Chrome auf Firefox wechseln? Bitte um Hilfe
joe13 -
WIn11 aktiviert aber Updates gehen nicht und Chrome auch nicht
MSFreak -
Chrome Dateiprüfung ausschalten
Andrew0
Interessante Links
Neue Nachrichten
- Zero Trust: Windows Server startet verschlüsselte Namensauflösung
- Nvidia GPU RTX Pro 6000: Preis steigt um krasse 55 Prozent
- Google Earth: Flugsimulator jetzt kostenlos im Browser nutzbar
- iPhone Fold Ultra im Hands-on-Video: Alle Details im Überblick
- Tesla-Autopilot: Fahrer hebeln Sicherheitssystem mit 8-€-Gadget aus
- Spiele bis zu 95 % schneller laden: Riesiger Boost für AMD-GPUs ist da
- Nur heute: Media Markt und Saturn mit genialen Wochenendknallern
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen