Abo
  • Services:

Unsicheres Plugin: Googles Passwort-Warnung lässt sich leicht aushebeln

Keine 24 Stunden, nachdem Google seine neue Chrome-Erweiterung zum Passwortschutz vorgestellt hat, haben IT-Sicherheitsforscher ihn bereits ausgehebelt. Kurz darauf veröffentlichte Google eine korrigierte Version des Plugins.

Artikel veröffentlicht am ,
Der wohlmeinende Warnhinweis der neuen Chrome-Erweiterung von Google lässt sich leicht unterdrücken.
Der wohlmeinende Warnhinweis der neuen Chrome-Erweiterung von Google lässt sich leicht unterdrücken. (Bild: Google)

Eigentlich will Googles Chrome-Erweiterung mit dem Namen Passwort-Warnung Nutzer von der Eingabe des Google-Passworts auf fremden Webseiten abraten. Dadurch soll verhindert werden, dass Nutzer das gleiche Passwort auch auf anderen Webseiten benutzen und somit leichter Opfer von Phishing-Attacken werden. IT-Sicherheitsforscher haben jedoch mit wenigen Zeilen Javascript-Code den Warnhinweis des Plugins unterdrückt und so den Schutz effektiv ausgehebelt. Google hat bereits reagiert und eine korrigierte Fassung nachgereicht.

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. akf bank GmbH & Co KG, Wuppertal

Passwort-Warnung funktioniert so: Das Google-Passwort eines Anwenders wird in einem verschlüsselten Hashwert auf seinem Rechner gespeichert. Will der Anwender das gleiche Passwort auf einer fremden Seite nutzen, erhält er einen Warnhinweis und wird aufgefordert, sein Google-Passwort zu ändern. Dabei unterscheidet die Erweiterung nicht, ob es sich tatsächlich um eine Phishing- oder eine legitime Webseite handelt. Die Google-Entwickler wollen Nutzer lediglich dafür sensibilisieren, nicht das gleiche Passwort mehrfach zu verwenden.

Der IT-Sicherheitsexperte Paul Moore vom Unternehmen Urity Group veröffentlichte wenig später ein Proof-of-Concept in Form von ein paar Zeilen Code, die den Warnhinweis unterdrücken, wenn sie in einer Phishing-Seite eingebettet werden:

if(document.getElementById("warning_banner"))
document.getElementById("warning_banner").remove();

Mit Version 1.4 soll diese Schwachstelle behoben sein. Wer die alte Version nutzt, sollte unter chrome://extensions/ im Entwicklermodus seine Erweiterungen aktualisieren. Die Webseite mit Paul Moores eingebettetem Javascript-Code kann zum Testen verwendet werden.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. bei Alternate vorbestellen
  3. (u. a. RT-AC5300 + Black Ops 4 für 255,20€ + Versand)

smonkey 04. Mai 2015

Also mir fällt jetzt kein plausibler Grund ein, warum das JavaScript von der Seite...

Tannenzapfen 04. Mai 2015

Ok, vielen Dank für den Tip :-)

caldeum 02. Mai 2015

1 einzigartiges Passwort für den Mailaccount, 1 einzigartiges für den Paypal-Account, 1...


Folgen Sie uns
       


Sky Ticket TV-Stick im Test

Wir haben den Sky Ticket TV Stick getestet. Der Streamingstick mit Fernbedienung bringt Sky Ticket auf den Fernseher, wenn dieser den Streamingdienst des Pay-TV-Anbieters nicht unterstützt. Auf dem Stick läuft das aktuelle Sky Ticket, das im Vergleich zur Vorgängerversion erheblich verbessert wurde. Den Sky Ticket TV gibt es quasi kostenlos, weil dieser nur zusammen mit passenden Sky-Ticket-Abos im Wert von 30 Euro angeboten wird.

Sky Ticket TV-Stick im Test Video aufrufen
Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

Retrogaming: Maximal unnötige Minis
Retrogaming
Maximal unnötige Minis

Nanu, die haben wir doch schon mal weggeschmissen - und jetzt sollen wir 100 Euro dafür ausgeben? Mit Minikonsolen fahren Anbieter wie Sony und Nintendo vermutlich hohe Gewinne ein, dabei gäbe es eine für alle bessere Alternative: Software statt Hardware.
Ein IMHO von Peter Steinlechner

  1. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  2. Sicherheit Ein Lob für Twitter und Github
  3. Linux Mit Ignoranz gegen die GPL

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

    •  /