Abo
  • Services:

Unsicheres Plugin: Googles Passwort-Warnung lässt sich leicht aushebeln

Keine 24 Stunden, nachdem Google seine neue Chrome-Erweiterung zum Passwortschutz vorgestellt hat, haben IT-Sicherheitsforscher ihn bereits ausgehebelt. Kurz darauf veröffentlichte Google eine korrigierte Version des Plugins.

Artikel veröffentlicht am ,
Der wohlmeinende Warnhinweis der neuen Chrome-Erweiterung von Google lässt sich leicht unterdrücken.
Der wohlmeinende Warnhinweis der neuen Chrome-Erweiterung von Google lässt sich leicht unterdrücken. (Bild: Google)

Eigentlich will Googles Chrome-Erweiterung mit dem Namen Passwort-Warnung Nutzer von der Eingabe des Google-Passworts auf fremden Webseiten abraten. Dadurch soll verhindert werden, dass Nutzer das gleiche Passwort auch auf anderen Webseiten benutzen und somit leichter Opfer von Phishing-Attacken werden. IT-Sicherheitsforscher haben jedoch mit wenigen Zeilen Javascript-Code den Warnhinweis des Plugins unterdrückt und so den Schutz effektiv ausgehebelt. Google hat bereits reagiert und eine korrigierte Fassung nachgereicht.

Stellenmarkt
  1. Walter AG, Tübingen
  2. GoDaddy, Ismaning

Passwort-Warnung funktioniert so: Das Google-Passwort eines Anwenders wird in einem verschlüsselten Hashwert auf seinem Rechner gespeichert. Will der Anwender das gleiche Passwort auf einer fremden Seite nutzen, erhält er einen Warnhinweis und wird aufgefordert, sein Google-Passwort zu ändern. Dabei unterscheidet die Erweiterung nicht, ob es sich tatsächlich um eine Phishing- oder eine legitime Webseite handelt. Die Google-Entwickler wollen Nutzer lediglich dafür sensibilisieren, nicht das gleiche Passwort mehrfach zu verwenden.

Der IT-Sicherheitsexperte Paul Moore vom Unternehmen Urity Group veröffentlichte wenig später ein Proof-of-Concept in Form von ein paar Zeilen Code, die den Warnhinweis unterdrücken, wenn sie in einer Phishing-Seite eingebettet werden:

if(document.getElementById("warning_banner"))
document.getElementById("warning_banner").remove();

Mit Version 1.4 soll diese Schwachstelle behoben sein. Wer die alte Version nutzt, sollte unter chrome://extensions/ im Entwicklermodus seine Erweiterungen aktualisieren. Die Webseite mit Paul Moores eingebettetem Javascript-Code kann zum Testen verwendet werden.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. bei Alternate.de

smonkey 04. Mai 2015

Also mir fällt jetzt kein plausibler Grund ein, warum das JavaScript von der Seite...

Tannenzapfen 04. Mai 2015

Ok, vielen Dank für den Tip :-)

caldeum 02. Mai 2015

1 einzigartiges Passwort für den Mailaccount, 1 einzigartiges für den Paypal-Account, 1...


Folgen Sie uns
       


Cue Roboter - Test

Wir hatten Spaß mit dem frechen Cue.

Cue Roboter - Test Video aufrufen
Kailh KS-Switch im Test: Die bessere Alternative zu Cherrys MX Blue
Kailh KS-Switch im Test
Die bessere Alternative zu Cherrys MX Blue

Der chinesische Hersteller Kailh fertigt seit fast 30 Jahren verschiedenste Arten von Schaltern, unter anderem auch Klone von Cherry-MX-Switches für Tastaturen. Der KS-Switch mit goldenem Stempel und markantem Klick ist dabei die bessere Alternative zu Cherrys eigenem MX Blue, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Apple-Patent Krümel sollen Macbook-Tastatur nicht mehr stören
  2. Tastaturen Matias bringt Alternative zum Apple Wired Keyboard
  3. Rubberdome-Tastaturen im Test Das Gummi ist nicht dein Feind

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


    Noctua NF-A12x25 im Test: Spaltlos lautlos
    Noctua NF-A12x25 im Test
    Spaltlos lautlos

    Der NF-A12x25 ist ein 120-mm-Lüfter von Noctua, der zwischen Impeller und Rahmen gerade mal einen halben Millimeter Abstand hat. Er ist überraschend leise - und das, obwohl er gut kühlt.
    Ein Test von Marc Sauter

    1. NF-A12x25 Noctua veröffentlicht fast spaltlosen 120-mm-Lüfter
    2. Lüfter Noctua kann auch in Schwarz
    3. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

      •  /