Googles Erweiterung „Passwort-Warnung“ umgangen

3. Mai 2015 Kategorie: Backup & Security, geschrieben von:

Vor ein paar Tagen brachte Google mit einer neuen Erweiterung namens Passwort-Warnung eigentlich keine schlechte Idee unter die Nutzer. Die Erweiterung achtet darauf, dass man auch auf einer Google-Seite ist, wenn man das Passwort eingibt. Ist dies nicht der Fall, so wird von der Erweiterung eine Warnmeldung ausgesendet. Google schlug hier gleich zwei Fliegen mit einer Klappe: man schützt vor Phishing und sorgt gleichzeitig dafür, dass Nutzer sich überlegen, das gleiche Passwort noch einmal zu nutzen.

Bildschirmfoto 2015-04-29 um 13.10.05

Denn wer beispielsweise sein Google-Passwort bei Facebook eingab (weil er es auch dort nutzte), der bekam ebenfalls eine Warnung, dass man sich nicht auf einer Google-Seite befinde – und dass man unter Umständen zu einem Phishing-Opfer werden können. Dumm nur, dass die Erweiterung von Google schon zwei Mal von Sicherheitsforschern umgangen werden konnte.

Beim ersten Aushebeln reichte ein spezielles Script, dieses sorgte dafür, dass die Warnung nicht angezeigt wurde. Google arbeitete flott nach und schob ein Update hinterher – dieses ließ sich aber immer noch austricksen, wie man bei Arstechnica berichtet. Hierbei wurde die Erweiterung so manipuliert, dass eine potentiell schädliche Seite nie das Passwort am Stück sendete, sondern durch Reload jeden Buchstaben einzeln – was letzten Endes dafür sorgte, dass keine Warnmeldung seitens der Erweiterung ausgesandt wurde.

Mittlerweile wurde die Erweiterung ein weiteres Mal aktualisiert. Mal schauen, wann man die Erweiterung ein weiteres Mal umgehen kann. Trügerische Sicherheit, die keine ist. Ebenfalls muss man bedenken, dass es sich um eine Erweiterung handelt – viele Nutzer wissen gar nicht, dass diese existent ist – vielleicht hätte Google einen besseren Schutz gleich direkt in Chrome verzahnen sollen.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25457 Artikel geschrieben.