黑客找到了一种绕过谷歌密码警报的简单方法

网络钓鱼警报扩展密码警报，一名安全研究人员利用致命的简单漏洞绕过了该功能。

 

周三，这家搜索引擎巨头推出了一款新的搜索引擎密码警报Chrome扩展当用户在精心打造的旨在劫持用户帐户的钓鱼网站上意外输入谷歌密码时，向其发出警告。

 

然而，安全专家保罗·摩尔（Paul Moore）只用了七行简单的JavaScript代码就轻松绕过了这项技术，这些代码一出现就立即杀死了钓鱼警报，击败了谷歌新的密码警报扩展。

 

谷歌很快解决了这个问题，并发布了一个新的密码警报扩展，阻止了摩尔的攻击。然而，摩尔也发现了另一种阻止新版密码警报的方法。

 

摩尔利用的第一个概念验证漏洞依赖于一个JavaScript，它每五毫秒查找一次警告屏幕的实例，并简单地删除它检测到的任何内容。通常，警告屏幕仍然存在，但该漏洞阻止用户看到它。

 

Moore（@Paul_Reviews）昨天发布了概念验证JavaScript漏洞，解释说任何人只要使用七行代码就可以绕过谷歌的密码警报。

以下是踢球者：

然而，谷歌向用户保证，该公司现在已经解决了这个问题，发布了Password Alert version 1.4. "要快速更新，请转到Chrome://extensions/，启用开发者模式，单击立即更新扩展，谷歌工程师德鲁·欣茨说。

 

但摩尔不想就此止步。他开始更仔细地分析扩展的代码，并想出了另一种绕过密码警报的方法，有效地在网络钓鱼警报生成后立即杀死它们。

 

根据摩尔的说法，他开发的第二个漏洞将使谷歌更难修复。

 

摩尔还提供了一个YouTube上的概念验证视频展示了袭击行动。您可以观看以下视频：

现在，让我们看看这家搜索引擎巨头在其全新的密码警报Chrome扩展中修复这个问题需要多长时间。

 

这项技术是谷歌在周三刚刚推出的，所以你可以期待它在早期阶段会出现一些缺陷。密码警报扩展已被删除由近30000名Chrome用户安装，建议他们更新目前可用的最新版本1.4，以解决第一个问题。

 

为了解决另一个问题，你可能不得不等到谷歌发布下一个更新。在此之前，建议您启用双因素身份验证和使用一个好的密码管理器保护自己免受网络钓鱼攻击。

更新：谷歌警报1.6也被绕过

谷歌发布了更新版1.6的密码警报，修复了Paul Moore推出的第二个漏洞后，来自安全化该公司在最新版本中发现了一种再次绕过谷歌密码提醒功能的方法。

研究人员创建了一个新的漏洞，可用于密码警报1.5版和1.6版，该漏洞通过以下两个步骤执行：

1.禁用Javascript：在HTML中，iFrame有一个沙盒属性，攻击者可以使用该属性仅禁用特定iFrame的Javascript。以下示例将完全禁用密码警报。PoC相当简单：

iframe src=“phishing_page.htm”sandbox=“allow forms”；

2.愚弄前100000个空白字节：Google Password Alert通过查看HTML的前10万字节来检查网页是否看起来像Google登录。因此，只需使用以下JavaScript即可绕过此问题：

密码警报。looksLikeGooglePageTight_uz=function（）{var allHtml=document.documentElement.innerHTML.slice（0，100000）；}