Googles Passwort-Warnung bereits ausgehebelt

chrome 

Vor wenigen Tagen hat Google eine Chrome Erweiterung namens „Passwort-Warning“ veröffentlicht. Doch die Warnung, die die Erweiterung anzeigen soll, lässt sich durch einen Angreifer recht einfach unterbinden. Google hat bereits ein Update veröffentlicht.

Ein Angreifer muss lediglich zwei Zeilen JavaScript einbetten und die Warnung, die Google anzeigt so ausblenden:

if(document.getElementById("warning_banner"))
document.getElementById("warning_banner").remove();

Das Video zeigt ein Beispiel:

Beim Aufruf der entsprechenden Seite zeigt Google Chrome bereits eine Phishing-Warnung an. Passwort-Warnung 1.4 soll den Fehler korrigieren. Das Update wird in den kommenden Tagen automatisch verteilt. Wer nicht warten möchte, sollte in Chrome Erweiterungen aufrufen und dort ggf. den Entwicklermodus aktivieren. Dann gibt es den Button „Updaten“.

Im Github Issue heißt es, dass der entsprechende Code morgen veröffentlicht werden. Beim Testen mit der neuen Version öffnet sich die Warnung in einem neuen Fenster. Sicherlich wird Google Möglichkeiten überprüfen, wie man den Nutzer warnen kann, ohne einem Angreifer die Möglichkeit zu geben, das zu unterbinden.

Als Vorschlag wurden im Issue etwa auch die Desktopbenachrichtigungen genannt.

Teile diesen Artikel:

comment Ein Kommentar zu “Googles Passwort-Warnung bereits ausgehebelt

Kommentare sind geschlossen.