Googles Passwort-Warnung bereits ausgehebelt
Vor wenigen Tagen hat Google eine Chrome Erweiterung namens „Passwort-Warning“ veröffentlicht. Doch die Warnung, die die Erweiterung anzeigen soll, lässt sich durch einen Angreifer recht einfach unterbinden. Google hat bereits ein Update veröffentlicht.
Ein Angreifer muss lediglich zwei Zeilen JavaScript einbetten und die Warnung, die Google anzeigt so ausblenden:
if(document.getElementById("warning_banner"))
document.getElementById("warning_banner").remove();
Das Video zeigt ein Beispiel:
Beim Aufruf der entsprechenden Seite zeigt Google Chrome bereits eine Phishing-Warnung an. Passwort-Warnung 1.4 soll den Fehler korrigieren. Das Update wird in den kommenden Tagen automatisch verteilt. Wer nicht warten möchte, sollte in Chrome Erweiterungen aufrufen und dort ggf. den Entwicklermodus aktivieren. Dann gibt es den Button „Updaten“.
Im Github Issue heißt es, dass der entsprechende Code morgen veröffentlicht werden. Beim Testen mit der neuen Version öffnet sich die Warnung in einem neuen Fenster. Sicherlich wird Google Möglichkeiten überprüfen, wie man den Nutzer warnen kann, ohne einem Angreifer die Möglichkeit zu geben, das zu unterbinden.
Als Vorschlag wurden im Issue etwa auch die Desktopbenachrichtigungen genannt.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Teile diesen Artikel:
Die beste Erweiterung um seine Erweiterungen und Apps im Blick zu behalten ist:
https://chrome.google.com/webstore/detail/chrome-apps-extensions-de/ohmmkhmmmpcnpikjeljgnaoabkaalbgc
Chrome Apps & Extensions Developer Tool