Trügerische Sicherheit: Googles Phishingschutz lässt sich überlisten

Kaum hatte Google das neue Chrome-Addon "Password Alert" veröffentlicht, gab es auch schon den ersten Exploit. Mittlerweile hat Google zwar nachgebessert, aber auch die neueste Version der Erweiterung bietet nur einen trügerischen Schutz. So gut und praktisch wie angekündigt ist Googles neue "Geheimwaffe" gegen Phishing-Attacken damit nun also nicht. Eigentlich soll die Erweiterung namens Password Alert dabei helfen, Anmeldungen mit dem Google-Account auf so genannten Phishing-Seiten zu verhindern: jedes Mal, wenn auf einer manipulierten, vermeintlichen Google-Seite das Passwort eingegeben wird, gibt das Addon eine Warnung aus. Google Password AlertDas Plugin soll eigentlich Sicherheit vermitteln. "Ihr Gmail-Passwort wurde gerade auf einer anderen Seite als der Gmail-Anmeldeseite eingegeben. Sie sollten Ihr Passwort sofort zurücksetzen, um die Sicherheit ihres Gmail-Kontos sicherzustellen. Bitte achten Sie zudem darauf, Ihr Gmail-Passwort nicht auch für andere Dienste zu verwenden."

Mehr dazu: Google: Neues Chrome-Addon schützt Nutzer vor Phishing-Angriffen

Dem Sicherheitsforscher Paul Moore ist es nun in den letzten Tagen gleich mehrfach gelungen, diesen Schutz zu umgehen. Zunächst trickste er das Addon mit ein paar Zeilen Code aus. In einem Video zeigte er den Hack als Proof of Concept. Dabei musste Moore gar nicht viel ändern, um der Sicherheitswarnung des Addons zu umgehen.

So einfach lässt es sich umgehen

Ein wenig JavaScript und die Warnung ist ausgehebelt. Er manipulierte lediglich die Anzeigedauer der Warnmeldung, sodass sie mit gerade einmal 5 Millisekunden nur so kurz aufflackert, dass sie von einem normalen Nutzer gar nicht wahrgenommen werden kann. Paul Moore sagte in einem Interview mit dem Magazin Forbes, dass ihn die Unbedarftheit bei Google zum Thema Sicherheit abschreckt. So etwas dürfe nicht passieren.

Selbst für einen erfahrenen Internetnutzer täuscht eine solche Erweiterung die Sicherheit nur vor. dabei müsse man sich eigentlich auf ein "Sicherheitsversprechen" des Unternehmens verlassen müssen. Auch Passwortexperte Per Thorsheim hält Googles Vorstoß in der jetzigen Form für ungeeignet.

Updates häufen sich

Google hat zwar rasch auf diese Umgehung reagiert und ein Update für die Chrome-Erweiterung herausgegeben. Seither folgten innerhalb einer Woche noch zwei weitere Aktualisierungen. Allerdings ist auch PasswordAlert v1.6 nicht sicher vor einer Umgehung der Sicherheitsschranke, und damit auch nicht vor potentiellen Angreifern. Internet, Betrug, Spam, Phishing, Abzocke Internet, Betrug, Spam, Phishing, Abzocke betacontinua / Flickr
Mehr zum Thema: Chrome
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen
Aktuelle Chrome-Downloads
Neue Chrome-Bilder
1 Internet-Browser: Deutschland surft auf der Chrome-Welle Internet-Browser­: Deutschland surft auf der Chrome-Welle 5 Google Chrome 96 Google Chrome 96
3 Passwörter ändern in Google Chrome Passwörter ändern in Google Chrome 3 Chrome für Android: Autofill Chrome für Android: Autofill
Videos über den Chrome-Browser
  • Neueste
  • Beliebte
  • Empfehlung
Weitere Chrome-Videos
Beiträge aus dem Forum
Zum Internet-Forum
Interessante Links
Jetzt als Amazon Blitzangebot
Ab 08:20 Uhr kungfuren OBD2 Bluetooth 4.0 Adapter für iPhone IOS und Android, OBD2 Diagnosegerät Scanner, Mini KFZ OBD Pro, OBD II Diagnosewerkzeuge Auto Code Readerkungfuren OBD2 Bluetooth 4.0 Adapter für iPhone IOS und Android, OBD2 Diagnosegerät Scanner, Mini KFZ OBD Pro, OBD II Diagnosewerkzeuge Auto Code Reader
Original Amazon-Preis
21,99
Im Preisvergleich ab
?
Blitzangebot-Preis
18,69
Ersparnis zu Amazon 15% oder 3,30
Alle Amazon Blitzangebote
Neue Nachrichten
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!