Onsdag i forrige uke kom Google med en utvidelse til Chrome som varsler brukeren dersom brukeren oppgir Google-passordet sitt på andre steder enn Googles innloggingsfelt. Brukeren anbefales da å bytte passordet, siden uvedkommende kan ha fått tak i det.
Bakgrunn: Chrome-tillegg advarer om passord-phishing
Første omgåelse
Men allerede dagen etter at utvidelsen ble gitt ut, kunne sikkerhetskonsulenten Paul Moore advarselen. Dette kan gjøres med et lite skript på phishingsiden, som med 5 millisekunders mellomrom sjekker om advarselen vises, for så å fjerne den igjen.
Dette skjer så raskt at det er lite sannsynlig at brukeren har fått med seg advarselen.
Metoden beskrives her av Ars Technica.
Noen timer senere hadde Google oppdatert Password Alert-utvidelsen (som heter Passordvarsel på norsk), slik at dette vesle trikset ikke lenger kunne brukes.
Les også: – Har du en pc, er du et mål
Andre omgåelse
Men Moore var ikke ferdig. Fredag kom han med en ny løsning, som for hvert tegn brukeren skriver inn, laster inn den falske innloggingssiden på nytt fra mellomlageret, uten at det er merkbart for brukeren.
Dette hindrer utvidelsen i å se hele passordet. Men alle enkelttegnene som brukeren skriver inn, kan fanges opp av JavaScript-kode på phishingsiden og overføres til for eksempel en cookie eller serveren websiden kjøres fra. Dette forutsetter dog at brukeren ikke taster inn passordet veldig langsomt.
#Google #PasswordAlert version 1.4 bypassed, again! cc @dangoodin001 @jleyden @gcluley @troyhunt @EduardKovacs pic.twitter.com/JrvrlFBYWN
— Paul Moore (@Paul_Reviews) 1. mai 2015
Det nye konseptbeviset til Moore kan testes her. Ars Technica har flere detaljer. Men også dette blir nå fanget opp av en ny versjon (1.6) av utvidelsen. Dessuten advarer Chromes Safe Browsing-funksjon brukeren om at dette er et potensielt phishingnettsted.
Passordkvalitet: – Ikke stol på passordmålerne
Tredje omgåelse
I ettertid har det dukket opp ytterligere et konseptbevis for hvordan Passordvarselet kan omgås. Det er Twitter-brukeren FalleStar som står bak dette konseptbeviset, som er forklart på selve siden.
Generelt vil digi.no fraråde at passord oppgis på steder hvor de ikke hører hjemme. Det gjelder også i konseptbevisene over, selv om det ikke er noe som tyder på at forfatterne av disse faktisk fanger opp passordene som skrives inn.
– Latterlig
Til Ars Technica sier Paul Moore, som er ansatt ved britiske Urity Group, at det er latterlig å hevde at utvidelsen gir noen virkelig beskyttelse.
Han mener at Google heller bør bruke ressursene sine på å støtte bruk av verktøy for passordhåndtering, siden de fleste av disse, ifølge Moore, gir en mye bedre beskyttelse mot phishingangrep enn det Passordvarsel-utvidelsen gjør.
Foreløpig er det ingenting som tyder på at Google kommer til å trekke utvidelsen. Den gjør ingen skade, men heller ingen reell beskyttelse slik den fungerer i dag.
Motvillig ekspert: - Hvis døra står åpen betyr brannmuren din ingenting