Abo
  • Services:

Unsicheres Plugin: Googles Passwort-Warnung lässt sich leicht aushebeln

Keine 24 Stunden, nachdem Google seine neue Chrome-Erweiterung zum Passwortschutz vorgestellt hat, haben IT-Sicherheitsforscher ihn bereits ausgehebelt. Kurz darauf veröffentlichte Google eine korrigierte Version des Plugins.

Artikel veröffentlicht am ,
Der wohlmeinende Warnhinweis der neuen Chrome-Erweiterung von Google lässt sich leicht unterdrücken.
Der wohlmeinende Warnhinweis der neuen Chrome-Erweiterung von Google lässt sich leicht unterdrücken. (Bild: Google)

Eigentlich will Googles Chrome-Erweiterung mit dem Namen Passwort-Warnung Nutzer von der Eingabe des Google-Passworts auf fremden Webseiten abraten. Dadurch soll verhindert werden, dass Nutzer das gleiche Passwort auch auf anderen Webseiten benutzen und somit leichter Opfer von Phishing-Attacken werden. IT-Sicherheitsforscher haben jedoch mit wenigen Zeilen Javascript-Code den Warnhinweis des Plugins unterdrückt und so den Schutz effektiv ausgehebelt. Google hat bereits reagiert und eine korrigierte Fassung nachgereicht.

Stellenmarkt
  1. BIONORICA SE, Neumarkt / Oberpfalz
  2. State Street Bank International GmbH, München

Passwort-Warnung funktioniert so: Das Google-Passwort eines Anwenders wird in einem verschlüsselten Hashwert auf seinem Rechner gespeichert. Will der Anwender das gleiche Passwort auf einer fremden Seite nutzen, erhält er einen Warnhinweis und wird aufgefordert, sein Google-Passwort zu ändern. Dabei unterscheidet die Erweiterung nicht, ob es sich tatsächlich um eine Phishing- oder eine legitime Webseite handelt. Die Google-Entwickler wollen Nutzer lediglich dafür sensibilisieren, nicht das gleiche Passwort mehrfach zu verwenden.

Der IT-Sicherheitsexperte Paul Moore vom Unternehmen Urity Group veröffentlichte wenig später ein Proof-of-Concept in Form von ein paar Zeilen Code, die den Warnhinweis unterdrücken, wenn sie in einer Phishing-Seite eingebettet werden:

if(document.getElementById("warning_banner"))
document.getElementById("warning_banner").remove();

Mit Version 1.4 soll diese Schwachstelle behoben sein. Wer die alte Version nutzt, sollte unter chrome://extensions/ im Entwicklermodus seine Erweiterungen aktualisieren. Die Webseite mit Paul Moores eingebettetem Javascript-Code kann zum Testen verwendet werden.



Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. (nur für Prime-Mitglieder)

smonkey 04. Mai 2015

Also mir fällt jetzt kein plausibler Grund ein, warum das JavaScript von der Seite...

Tannenzapfen 04. Mai 2015

Ok, vielen Dank für den Tip :-)

caldeum 02. Mai 2015

1 einzigartiges Passwort für den Mailaccount, 1 einzigartiges für den Paypal-Account, 1...


Folgen Sie uns
       


Bethesda E3 2018 Pressekonferenz -Live

Fallout 76 wird Multiplayer bieten, Starfield und Elder Scrolls 6 werden angekündigt und Bethesda bringt mit Rage 2 und Doom Eternal jede Menge Action: Konnte uns das im nächtlichen Stream begeistern?

Bethesda E3 2018 Pressekonferenz -Live Video aufrufen
Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  2. Battlefield 5 Schatzkisten und Systemanforderungen
  3. Battlefield 5 Zweiter Weltkrieg mit Sprengkraft

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

VR-Rundschau: Retten rockende Jedi-Ritter die virtuelle Realität?
VR-Rundschau
Retten rockende Jedi-Ritter die virtuelle Realität?

Der mediale Hype um VR ist zwar abgeflaut, spannende Inhalte dafür gibt es aber weiterhin - und das nicht nur im Games-Bereich. Mit dabei: das beliebteste Spiel bei Steam, Jedi-Ritter auf Speed und ägyptische Grabkammern.
Ein Test von Achim Fehrenbach

  1. Oculus Core 2.0 Windows 10 wird Minimalanforderung für Oculus Rift
  2. Virtual Reality BBC überträgt Fußball-WM in der virtuellen VIP-Loge
  3. VR-Brillen Google experimentiert mit Lichtfeldfotografie

    •  /