绕过这个保护不需要多长时间。
“在一个Chrome浏览器的插件里面,一个非常简单的漏洞居然绕过了google password alert的保护,愚蠢的谷歌还说自己会保护好用户的信息,这个简直就是笑话!”
“这难以相信,”保罗•摩尔说道。他是英国Urity集团信息安全顾问,并且发现了这个漏洞。 “它提供保护真实水平简直就是个玩笑。”
Google Password Alert应该随时关注着数据库的动态,和防止一些钓鱼式攻击的。谷歌还大言不惭的说道这个插件能够防止XSS钓鱼攻击。有些人还希望能够理由此技术来做一些安全防范,比如说像Facebook和Twitter。但是,仅仅是关闭Javascript的弹窗钓鱼是不够的。摩尔发现了一个很低级的BUG能够让谷歌的保护系统认为
一些非法的钓鱼弹窗是合法性存在的。幸运的是雅虎完全消除密码功能要靠谱的多。他们能够很全面的吸取白帽子建议,并且及时修补漏洞。
Cnbeta的报道:安全扩展不安全 谷歌Password Alert被发现存在绕过漏洞
谷歌于近日宣布了一个免费开源的Chrome扩展Password Alert保护你Google账户免受钓鱼网站攻击。但在发布不到24小时,国外某安全研究机构就发现了该扩展的绕过漏洞,通过几行精心设计的代码,就能屏蔽掉该扩展显示的警告信息。
该漏洞由国外安全机构发现并通知给科技网站Arstechnica。研究人员表示,与其花费精力在开发这些意义不大的扩展上,还不如提高谷歌账户的安全性和验证措施。
漏洞核心的绕过代码原理其实并不复杂,通过每5ms执行一次下列所示的js代码,就能将该扩展显示的警告信息屏蔽,虽然理论上该扩展还是能显示警告信息,但5ms的时间人类是察觉不到的。核心代码如下:
(责任编辑:安博涛)
