Google Password Alert gepatcht en weer omzeild

[Captain Kirk]

Woensdag onthulde Google een extensie voor Chrome die het Google-wachtwoord van gebruikers tegen phishingaanvallen moet beschermen. Zodra gebruikers op een phishingsite hun wachtwoord hebben ingevuld krijgen ze een waarschuwing van Password Alert, zoals de extensie heet, en de mogelijkheid om hun Google-wachtwoord te wijzigen.

De werking bleek niet onfeilbaar, want nog geen dag later had de Britse securityconsultant Paul Moore Password Alert via een script van zeven regels omzeild, zo maakte hij via Twitter bekend. Het script, dat de consultant naar eigen zeggen in twee minuten had gemaakt, zorgde ervoor dat gebruikers helemaal geen waarschuwing meer te zien kregen. Vandaag kwam Google met een update naar versie 1.4 om de aanval van Moore te verhelpen. Een uur geleden is Moore er echter in geslaagd om ook deze versie te omzeilen, zo laat hij wederom via Twitter weten.

 

Het Nederlandse beveiligingsbedrijf Securify publiceerde gisteren een uitgebreidere proof-of-concept om de extensie te omzeilen, maar het lijkt erop dat Google ook deze aanval heeft opgelost, aangezien gisteren versie 1.5 is verschenen.

 

bron: security.nl

[Captain Kirk]

Er is inmiddels een waar kat-en-muisspel ontstaan rond de Password Alert-extensie van Google die Chromegebruikers tegen phishingaanvallen moet beschermen, maar inmiddels een aantrekkelijk doelwit van onderzoekers is geworden die de uitbreiding steeds proberen te omzeilen en daar ook in slagen.

Password Alert zorgt ervoor dat gebruikers die hun Google-wachtwoord op een phishingsite invullen een waarschuwing krijgen. Vervolgens is het mogelijk om vanuit de waarschuwing het wachtwoord te wijzigen. Eerder deze week slaagde de Britse securityconsultant Paul Moore erin om Password Alert via een script van zeven regels te omzeilen. Gebruikers kregen in dit geval geen waarschuwing als ze hun Google-wachtwoord op een phishingsite invulden.

Google kwam met een update naar versie 1.4, die ook door Moore werd omzeild. Wederom publiceerde Google een nieuwe versie, 1.5, waarop het Nederlandse beveiligingsbedrijf Securify met een manier kwam om de waarschuwing te omzeilen. Het duurde echter niet lang voordat Google ook deze aanval had afgevangen en versie 1.6 uitbracht. Onderzoekers zijn er nu in geslaagd ook deze versie, wat de meest recente versie is, te omzeilen.

"Inmiddels hebben we weer een nieuwe manier gevonden om Password Alert te omzeilen. Door het loginformulier in een iframe te laden waarvan Javascript is uitgeschakeld, is het niet meer mogelijk voor Password Alert om toetsaanslagen af te vangen. Hierdoor werkt de detectie niet meer", zegt Yorick Koster van Securify tegenover Security.NL. "In feite is dit een kat-en-muisspel. De extensie controleert of een gebruiker zijn Google-accountgegevens heeft ingevuld: e-mailadres en wachtwoord. Wanneer één van die twee niet meer goed doorkomt, dan werkt de detectie niet meer."

 

bron: security.nl