Werbung
Bereits am Tag, nachdem Google das neue Chrome-Plug-in Passwort-Warnung herausgebracht hat, ist dieses geknackt worden. Die neue Erweiterung sollte den Nutzer eigentlich vor Phishing schützen, indem der Passwort-Warner eine Meldung ausgibt, sobald der Nutzer das Google-Passwort auf kompromittierten Seiten eingibt. Nutzer werden dann aufgefordert, das Passwort zu erneuern.
Der Sicherheitsforscher Paul Moore veröffentlichte dazu am vergangenen Donnerstag ein YouTube-Video. Dort zeigt er, wie einfach dieses Plug-in zu umgehen ist. Für das Video erstellte Moore eine gefälschte Google-Anmeldeseite, die dem Original täuschend ähnlich sieht. Ein darin enthaltener JavaScript-Code konnte die Passwort-Warnung zwar nicht komplett ausschalten, verringert deren Anzeigezeit aber auf 5 Millisekunden. Wie Moore dem Forbes-Magazin mitteilte, sei es dem Nutzer nicht mehr möglich, die Warnung wahrzunehmen, da sie zu schnell verschwinde.
Datenschutzhinweis für Youtube
An dieser Stelle möchten wir Ihnen ein Youtube-Video zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Youtube setzt durch das Einbinden und Abspielen Cookies auf ihrem Rechner, mit welchen Sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf den Play-Button. Das Video wird anschließend geladen und danach abgespielt.
Ihr Hardwareluxx-Team
Youtube Videos ab jetzt direkt anzeigen
„Kurz zusammengefasst, jeder, der einen Phishing-Angriff auf ein Google-Konto plant, muss bloß diese sieben Zeilen Code hinzufügen, um die Passwort-Warnung-Schutz nutzlos zu machen." Dies sei laut Moore „wirklich beschämend".
Google reagierte und veröffentlichte eine aktualisierte Version 1.4 des Plug-ins. Doch auch bei dieser fand Moore einen Weg den Schutz zu umgehen. Am 1. Mai erschien daraufhin die Version 1.6 im Chrome Store, die ebenfalls nicht sicher sei, wie Moore am 3. Mai bei Twitter bekanntgab.