Tuần trước, Google đã thông báo về việc phát hành một tiện ích mở rộng Chrome mới có thể bảo vệ mật khẩu tài khoản Google của bạn khỏi các trang web lừa đảo. Tuy nhiên, tin tặc đã vượt qua được hệ thống bảo mật trong vòng chưa đầy 24 giờ.
Vì tội phạm mạng đang thử nhiều phương pháp khác nhau để lấy mật khẩu Google của bạn, Google cần phải tăng cường hệ thống bảo mật để bảo vệ danh tính của người dùng. Tuần trước, Google đã công bố một tiện ích mở rộng mới của Chrome, có thể giúp chống lại hành vi lừa đảo. Tiện ích Cảnh báo mật khẩu của Chrome được thiết kế để cảnh báo người dùng bất cứ khi nào họ vô tình nhập mật khẩu tài khoản Google trên một trang web lừa đảo nhằm chiếm đoạt tài khoản Google.
Đáng buồn thay, một tin tặc đã vượt qua được tiện ích mở rộng an toàn trong vòng 24 giờ sau khi Google khởi chạy tiện ích mở rộng Chrome. Tin tức về hacker đã báo cáo rằng chuyên gia bảo mật Paul Moore đã dễ dàng phá vỡ công nghệ chỉ bằng bảy dòng mã JavaScript đơn giản để tiêu diệt các cảnh báo lừa đảo ngay khi chúng bắt đầu xuất hiện, đánh bại tiện ích mở rộng Cảnh báo mật khẩu mới của Google. Ngay sau đó, Google đã tìm cách khắc phục sự cố đã chặn việc khai thác của Moore, nhưng đã phát hiện ra một cách khác để vượt qua nó.
Bằng chứng về khai thác khái niệm của Moore được viết bằng JavaScript và việc khai thác đã ngăn người dùng nhìn thấy các cảnh báo từ tiện ích mở rộng. Moore báo cáo rằng mô-đun cảnh báo mật khẩu của Google có thể bị bất kỳ ai vượt qua chỉ với bảy dòng mã.
Google đã cố gắng phát hành nhiều bản vá và Moore đã vượt qua hầu hết chúng. Bản cập nhật mới trên The Hacker News nói rằng Google đã phát hành phiên bản 1.6 của tiện ích mở rộng Chrome và điều đó cũng bị bỏ qua một cách dễ dàng.
. .
…
