Abo
  • Services:
Anzeige
Der wohlmeinende Warnhinweis der neuen Chrome-Erweiterung von Google lässt sich leicht unterdrücken.
Der wohlmeinende Warnhinweis der neuen Chrome-Erweiterung von Google lässt sich leicht unterdrücken. (Bild: Google)

Unsicheres Plugin: Googles Passwort-Warnung lässt sich leicht aushebeln

Der wohlmeinende Warnhinweis der neuen Chrome-Erweiterung von Google lässt sich leicht unterdrücken.
Der wohlmeinende Warnhinweis der neuen Chrome-Erweiterung von Google lässt sich leicht unterdrücken. (Bild: Google)

Keine 24 Stunden, nachdem Google seine neue Chrome-Erweiterung zum Passwortschutz vorgestellt hat, haben IT-Sicherheitsforscher ihn bereits ausgehebelt. Kurz darauf veröffentlichte Google eine korrigierte Version des Plugins.

Anzeige

Eigentlich will Googles Chrome-Erweiterung mit dem Namen Passwort-Warnung Nutzer von der Eingabe des Google-Passworts auf fremden Webseiten abraten. Dadurch soll verhindert werden, dass Nutzer das gleiche Passwort auch auf anderen Webseiten benutzen und somit leichter Opfer von Phishing-Attacken werden. IT-Sicherheitsforscher haben jedoch mit wenigen Zeilen Javascript-Code den Warnhinweis des Plugins unterdrückt und so den Schutz effektiv ausgehebelt. Google hat bereits reagiert und eine korrigierte Fassung nachgereicht.

Passwort-Warnung funktioniert so: Das Google-Passwort eines Anwenders wird in einem verschlüsselten Hashwert auf seinem Rechner gespeichert. Will der Anwender das gleiche Passwort auf einer fremden Seite nutzen, erhält er einen Warnhinweis und wird aufgefordert, sein Google-Passwort zu ändern. Dabei unterscheidet die Erweiterung nicht, ob es sich tatsächlich um eine Phishing- oder eine legitime Webseite handelt. Die Google-Entwickler wollen Nutzer lediglich dafür sensibilisieren, nicht das gleiche Passwort mehrfach zu verwenden.

Der IT-Sicherheitsexperte Paul Moore vom Unternehmen Urity Group veröffentlichte wenig später ein Proof-of-Concept in Form von ein paar Zeilen Code, die den Warnhinweis unterdrücken, wenn sie in einer Phishing-Seite eingebettet werden:

if(document.getElementById("warning_banner"))
document.getElementById("warning_banner").remove();

Mit Version 1.4 soll diese Schwachstelle behoben sein. Wer die alte Version nutzt, sollte unter chrome://extensions/ im Entwicklermodus seine Erweiterungen aktualisieren. Die Webseite mit Paul Moores eingebettetem Javascript-Code kann zum Testen verwendet werden.


eye home zur Startseite
smonkey 04. Mai 2015

Also mir fällt jetzt kein plausibler Grund ein, warum das JavaScript von der Seite...

Tannenzapfen 04. Mai 2015

Ok, vielen Dank für den Tip :-)

caldeum 02. Mai 2015

1 einzigartiges Passwort für den Mailaccount, 1 einzigartiges für den Paypal-Account, 1...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. über Duerenhoff GmbH, Raum Frankfurt am Main
  3. über Duerenhoff GmbH, Raum Mannheim
  4. Verlag für die Deutsche Wirtschaft AG, Bonn


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)
  2. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  3. 79,98€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Smartphones

    Huawei installiert ungefragt Zusatz-App

  2. Android 8.0

    Oreo-Update für Oneplus Three und 3T ist da

  3. Musikstreaming

    Amazon Music für Android unterstützt Google Cast

  4. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  5. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  6. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  7. Elektroauto

    Walmart will den Tesla-Truck

  8. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  9. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  10. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Universal Paperclips: Mit ein paar Sexdezillionen Büroklammern die Welt erobern
Universal Paperclips
Mit ein paar Sexdezillionen Büroklammern die Welt erobern
  1. Disney Marvel Heroes wird geschlossen
  2. Starcraft 2 Blizzard lästert über Pay-to-Win in Star Wars Battlefront 2
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Star Wars Battlefront 2 im Test: Filmreife Sternenkrieger
Star Wars Battlefront 2 im Test
Filmreife Sternenkrieger
  1. Star Wars EA entfernt Mikrotransaktionen aus Battlefront 2
  2. Electronic Arts Community empört über freischaltbare Helden in Battlefront 2
  3. Star Wars Mächtiger Zusatzinhalt für Battlefront 2 angekündigt

Coffee Lake vs. Ryzen: Was CPU-Multitasking mit Spielen macht
Coffee Lake vs. Ryzen
Was CPU-Multitasking mit Spielen macht
  1. Custom Foundry Intel will 10-nm-Smartphone-SoCs ab 2018 produzieren
  2. ARM-Prozessoren Macom verkauft Applied Micro
  3. Apple A11 Bionic KI-Hardware ist so groß wie mehrere CPU-Kerne

  1. Re: kaum hat man sich

    LinuxMcBook | 02:27

  2. Re: Macht ruhig weiter, Vivendi

    Vaako | 02:16

  3. Re: Frontantrieb...

    holgerscherer | 02:14

  4. Re: Nicht für den Straßenverkehr

    gs (Golem.de) | 02:13

  5. Re: Witzig. Wieder ein E-Auto bericht von Leuten...

    holgerscherer | 02:00


  1. 11:55

  2. 11:21

  3. 10:43

  4. 17:14

  5. 13:36

  6. 12:22

  7. 10:48

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel