Chrome PassWord Alert: η “ασφάλεια” δεν κράτησε πολύ

[CyberG]

 

Την περασμένη Τετάρτη η Google ανακοίνωσε μια νέα λειτουργία που μπορούν οι χρήστες του Chrome να χρησιμοποιήσουν για να διασφαλίσουν ένα υψηλότερο επίπεδο ασφάλειας των κωδικών προσβασής τους: το Password Alert Chrome extension. Κι όμως, μέσα σε λίγα εικοσιτετράωρα, ερευνητές ασφαλείας και hackers κατάφεραν να αποδείξουν ότι όταν κάποιος κακόβουλος χρήστης θέλει, μπορεί να προσπεράσει και αυτό το «εμπόδιο» πολύ εύκολα.

 

 

Το Password Alert Chrome extension, που ορισμένοι το έχουμε ήδη προσθέσει στον περιηγητή μας, είναι σε θέση να μας ειδοποιήσει άμεσα μόλις εισάγουμε τον κωδικό πρόσβασής μας στις υπηρεσίες του Google (π.χ. Gmail, Drive κ.λπ.) σε μια ψεύτικη φόρμα υποβολής στοιχείων, δηλαδή μόλις δεχθούμε «επίθεση phishing».

 

Ποιες είναι οι λειτουργίες του Password Alert;

 

Η επέκταση Password Alert είναι διαθέσιμη δωρεάν στο Chrome Web Store και είναι προγραμματισμένη να κάνει δύο βασικά πράγματα:

• Να σας αποτρέψει να χρησιμοποιήσετε τον κωδικό πρόσβασής σας στις υπηρεσίες της Google και σε άλλες ιστοσελίδες / υπηρεσίες
• Να σας προειδοποιήσει αμέσως μόλις χρησιμοποιήσετε τον κωδικό πρόσβασής σας στις υπηρεσίες της Google σε μια ιστοσελίδα που δε σχετίζεται με τη Google – και σε αυτή την περίπτωση εμφανίζεται ένα warning ότι πιθανότατα έχετε πέσει θύμα phishing και απαιτείται να αλλάξετε τον κωδικό σας (της Google)

Οι hackers είναι πάντα ένα βήμα μπροστά

 

Έτσι, το πρώτο πλήγμα ήρθε από έναν ερευνητή ασφαλείας ο οποίος δοκίμασε να χρησιμοποιήσει κάποια πολύ απλά exploits για να παρακάμψει τις ρυθμίσεις προστασίας. Ο Paul Moore, με μόλις 7 γραμμές κώδικα JavaScript, κατάφερε να «θέσει εκτός μάχης» τις προειδοποιήσεις της Google, αποτρέποντας την εμφάνισή τους αμέσως μόλις ξεκινήσει η διαδικασία εμφάνισής τους (μάλιστα ο σχετικός έλεγχος λαμβάνει χώρα κάθε 5 χιλιοστά του δευτερολέπτου!). Ο κώδικας φαίνεται στην ακόλουθη εικόνα:

 

 

Η Google διόρθωσε σχεδόν αμέσως το πρόβλημα και κυκλοφόρησε σχετική ενημέρωση την Password Alert version 1.4.

 

Αλλά και πάλι ο Moore δεν έμεινε με «σταυρωμένα χέρια». Κατάφερε ξανά, μετά από προσεκτικότερη μελέτη του κώδικα να προσπεράσει και αυτή τη φορά τις ρυθμίσεις ασφαλείας. Ο κώδικας που χρησιμοποίησε φαίνεται στην παρακάτω εικόνα:

 

 

 

Ούτε η νέα ενημέρωση 1.6 άντεξε για πολύ!

 

Η Google διόρθωσε για μια ακόμη φορά μέσα σε λίγες ώρες το πρόβλημα και δημοσίευσε τηνενημέρωση 1.6, προτρέποντας τους χρήστες της να προχωρήσουν στο σχετικό update.

Αυτή τη φορά, όμως, νέο πρόβλημα ανακάλυψαν ερευνητές ασφαλείας της εταιρείας Security.

 

Το exploit που δημιούργησαν – και «δουλεύει» κανονικά στις εκδόσεις 1.5 και 1.6 – εκτελεί τα ακόλουθα δύο βήματα:

• Επενεργοποίηση του Javascript: Στην html υπάρχει η δυνατότητα απενεργοποίησης του Javascript για ένα συγκεκριμένο iframe μόνο. Αυτό φαίνεται στον ακόλουθο κώδικα:

• 100.000 κενά Bytes: Το Google Password Alert ελέγχει αν μια ιστοσελίδα μοιάζει με εκείνες που ζητούν Login σε υπηρεσίες της Google, ελέγχοντας τα πρώτα 100.000 bytes στην html. Με τον ακόλουθο κώδικα, το «πρόβλημα λύνεται» πολύ εύκολα:

passwordalert.looksLikeGooglePageTight_ = function() { var allHtml = document.documentElement.innerHTML.slice(0, 100000); }

Ολόκληρο τον πηγαίο κώδικα του Password Alert μπορείτε να τον βρείτε εδώ.

 

Πηγή: cybersecurity.gr