Spoločnosť Google predstavila ďalší spôsob na posilňovanie ochrany prístupových údajov svojich užívateľov. Bezpečnostný expert v ňom však našiel nedostatky za menej než 24 hodín.
Najnovšia bezpečnostná funkcia z dielne Google má názov Password Alert. Toto nové rozšírenie, ktoré je pre používateľov prehliadača Google Chrome dostupné od uplynulého týždňa, má chrániť heslá používateľov pred ich zadaním na takzvané phishingové stránky. Tieto falošné, a na prvý pohľad nerozoznateľné stránky, sú spravované útočníkmi, ktorí sa ich pomocou chcú zmocniť prístupových údajov. Denne je rozoslaných niekoľko miliónov phisingových emailov, pričom až 45% útokov splní svoj účel.
Keďže sa tieto stránky zvyčajne od originálnych odlišujú len drobným preklepom v názve, dochádza k ich častému a úspešnému využívaniu. Vedenie spoločnosť Google sa preto rozhodlo pokračovať vo vylepšovaní bezpečnosti svojich produktov. Password Alert najskôr využívali a testovali vo vnútri firmy a až potom predstavili túto možnosť širšej verejnosti.
Funkcia by mala po nainštalovaní používateľov upozorniť, že navštívili podozrivú stránku. Zároveň majú možnosť zmeniť si súčasné heslo účtu a znížiť tak riziko napadnutia. Podľa vyjadrení bezpečnostného inžiniera Google Drewa Hibtza „vám to pomôže rozoznať, či miesto, kde ste práve zadali svoje heslo, bolo správne alebo nie“.
Ešte v deň spustenia novinky však bezpečnostný expert Paul Moore zo spoločnosti Urity Group našiel postupne dva spôsoby ako obísť naprogramované zabezpečenie Password Alert. Prvýkrát naprogramoval útočiacu stránku tak, aby blokovala výstražné vyskakovacie okno. V druhom prípade zas naprogramoval škodlivú stránku tak, aby sa sama obnovovala po vpísaní každého jedného písmenka hesla, čo Password Alert nedokázal vyhodnotiť ako zadanie plného hesla a tak neaktivoval ochrannú kontrolu.
Paul Moore zverejnil svoje zistenia až potom, ako pracovníkov Googlu upozornil na jednotlivé chyby. Tie sú už odstránené. Funkcia je dostupná na Github a dá sa využívať aj na iných prehliadačoch.
Zdroje: Wired.com; Digitaltrends.com
(PR)