Anti-phishing-extensie van Google Chrome nu al omzeild - update

De Chrome-extensie die kan waarschuwen voor phishing van Google-wachtwoorden, kan nu al via een simpele exploit omzeild worden. De exploit werd door Google ook weer snel tegengegaan middels een update, maar early adopters moeten dat nu nog handmatig doen.

Dat schrijft Arstechnica. De proof-of-concept-exploit komt nog geen 24 uur nadat de extensie uitgebracht werd. De Chrome-extensie Password Alert vergelijkt de ingevoerde tekst met een hash van het Google-wachtwoord en kan waarschuwen wanneer het wachtwoord wordt ingevoerd op een niet-Google site.

De exploit gebruikt Javascript om elke vijf milliseconden te kijken of de waarschuwing van Google weergegeven wordt. Zodra dat zo is, wordt de melding meteen verwijderd. Dat gaat zo snel dat de gebruiker de waarschuwing nooit te zien krijgt.

De beveiligingsonderzoeker Paul Moore van het Britse beveiligingsbedrijf Urity Group zegt dat de suggestie dat er überhaupt enige mate van veiligheid wordt geboden, al gevaarlijk is. Volgens Moore kan Google zijn tijd beter stoppen in het leren van mensen om te gaan met wachtwoordmanagers.

Al snel na het verschijnen van de exploit, verving Google de Password Alert-extensie naar versie 1.4. Gebruikers die de extensie al installeerden, kunnen de extensie sneller updaten door bij de instellingen van Chrome bij Extensies de ontwikkelaarsmodus aan te vinken en daarna de extensies te updaten.

Update 4 mei 13.06: Uit een tweet blijkt dat er wederom een manier gevonden is om de extensie te omzeilen

Reacties (50)

CyberDonky 1 mei 2015 09:04

Voor de mensen die de extensie Password Alert willen updaten, doe het volgende:
Installeer de nieuwe versie, ga naar chrome://extensions, vink developer mode [AAN] en klik op 'Update extensies nu.'

In feite gaat het om de volgende code die is toegevoegd:

<script type="text/javascript">
setInterval(function() {
if(document.getElementById("warning_banner")) {
document.getElementById("warning_banner").remove();
}
}, 5);
<script>>

Beveiligingsonderzoeker Paul Moore stuurde deze mailomschrijving erbij met de code:
Lines 2 & 8 are the start & end of a Javascript block.
Lines 3 & 7 (setinterval) tells the UA to carry out what’s inside the function every x milliseconds (5 in this case).
Line 4 checks to see if the warning_banner (the window which the Password Alert plugin creates when it finds a phishing site) exists. This line isn’t strictly necessary, but to hide any errors which may alert the user, it’s included.
Line 5 searches the DOM for an element with an ID of “warning_banner” and removes it.

Basically, the script runs every 5 milliseconds, searches the page for instances of Google’s warning screen and simply removes it. That’s it. Technically, the warning window still appears… but it disappears so quickly, the user wouldn’t know..

Bron informatie: http://arstechnica.com/se...s-googles-password-alert/

[Reactie gewijzigd door CyberDonky op 28 juli 2024 05:02]

xoniq @CyberDonky • 1 mei 2015 09:06

Dus ook echt nog de meest basic stukje JS ook om iets uit de DOM te halen .. Best triest dat het zo makkelijk te omzeilen is/was ..

klaw @xoniq • 1 mei 2015 09:33

Om eerlijk te zijn was het wel te verwachten er zitten nog wel genoeg fouten in en hoe groot je test team ook is, ze kunnen niet alles verzinnen. Er zijn altijd mensen die iets verzinnen. Aangezien de extentie nog niet meteen automatisch updated lijkt dat het nu in een (onofficiele) beta fase zit.

xoniq @klaw • 1 mei 2015 09:46

Dan zou ik het denk ik toch eerder in de Chrome core gooien, die een harde banner toont vanuit de Chrome UI zelf waar een website niks aan kan manipuleren.
Echter is het daarbij het probleem dat je bij elk fixje aan een dergelijk systeem heel Chrome moet updaten.

Zezura @xoniq • 1 mei 2015 13:09

nee want je kan nogsteeds zeggen dat de extensie het scherm update binnen webkit alleen, dat deze extensie extra bevoegdheden heeft binnen javascript die bijvoorbeeld een binding hebben naar een native functie die javascript executie (tijdelijk) stopt. zo kan je zo'n pagina niet met de dom manipuleren (en verwijderen van de dom).

overal zijn oplossingen voor te vinden. maar ik denk wel dat dat javascript executie stoppen een goed alternatief zou zijn. dan is er namelijk niks meer wat de attacker op afstand kan doen.

catfish @Zezura • 1 mei 2015 13:19

ik vind het maar normaal dat alles stil wordt gezet bij een belangrijke waarschuwing
dit is gewoon vragen om problemen

Zezura @catfish • 1 mei 2015 20:01

inderdaad

HooksForFeet 1 mei 2015 09:02

Dit is gewoon genant. De extensie voegt dus bij een mogelijke phishing-site een banner toe aan de pagina, en het enige wat die pagina daartegen hoeft te doen is iedere 5 milliseconden de banner weer verwijderen.

Waarom moet die banner sowieso in de DOM? Waarom is het geen onderdeel van chrome zelf, zodat de betreffende phishing-pagina er niet eens bij kan? De suggestie dat dit veilig is, is inderdaad ronduit gevaarlijk te noemen.

xoniq @HooksForFeet • 1 mei 2015 09:05

en het enige wat die pagina daartegen hoeft te doen is iedere 5 milliseconden de banner weer verwijderen.

Dat is nu dus niet meer het geval, maar zal wel weer omzeilt worden.

HooksForFeet @xoniq • 1 mei 2015 16:32

En voila, dat is gebeurd. Weer binnen 24 uur. Weer door dezelfde onderzoeken. Weer met enkele simpele regels javascript: http://arstechnica.com/se...cking-bypass-is-bypassed/

Hoe lang gaan we volhouden dat het geen blamage is en Google's methode (een plugin die de DOM manipuleert) gewoon niet geschikt is hiervoor?

xoniq @HooksForFeet • 1 mei 2015 16:39

Daarom zou het eigelijk onderdeel moeten worden van de UI kit van Chrome zelf. Waar JS niet bij kan.

HooksForFeet @xoniq • 1 mei 2015 17:41

Precies. Het is eigenlijk van de zotte dat ze dit via de DOM van de phishing-pagina zelf op proberen te lossen.

xoniq @HooksForFeet • 1 mei 2015 19:57

Wellicht eerst een zogenaamde proof of concept.

Verwijderd @HooksForFeet • 1 mei 2015 09:06

Het is wel heel snel gehacked inderdaad.
Maar in haar kern is google ook geen beveiligheids-bedrijf of een pro-privacy bedrijf, maar een online adverteerder en dienstverlener, dus je moet het google ook niet zo aanrekenen. Daarnaast heeft google deze Hack direct gedicht. Er is dus geen reden om kritisch te zijn naar google. Beter had de hacker het direct aan google gemeld, dan had niemand dit geweten, nu kon er alsnog misbruik van gemaakt worden tot het probleem gepatched werd.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 05:02]

Floor @Verwijderd • 1 mei 2015 09:31

Toch heeft Google zijn zaken normaal goed in orde. Ze weten als geen ander dat een geschaad vertrouwen in veiligheid de adverteerdersmarkt geen goed doet.
Ik weet niet hoe het nu is maar een jaar of wat (1 - 2), een eeuwigheid hadden we Google's Apps vergeleken met Microsoft office 365. MBT beveiliging, wachtwoord policy's e.d. kwam Google er hèèl veel beter uit. Nogmaals, ik hoop dat Microsoft zijn zaken nu ook in orde heeft. Wat dat betreft mag er een wedloop zijn wie het veiligste is. Echter kan geen van de cloudaanbieders garanderen dat er ook echt niemand bij je zaken kan, dus ongeschikt

batjes

Google Chrome

@Floor • 1 mei 2015 11:13

Google schaadt constant het vertrouwen van veiligheid.

Android is niet een veiligheids hoogtepunt van de mobiele OSen.
Chrome scoort keer op keer de 1ste of 2de plek met meeste security exploits per jaar en dat strak sinds het bestaat.

En nu een antiphising meuk, die constant je passwords in de gaten houd in een dom in 1 van de meest onveilige browsers die er bestaat

Verwijderd @Floor • 1 mei 2015 09:52

Echter kan geen van de cloudaanbieders garanderen dat er ook echt niemand bij je zaken kan, dus ongeschikt

Waarom als bedrijf dan niet je eigen Cloud hosten?

De overheid waarschuwt ons bedrijven specifiek voor de twee dienstverleners die je noemt.

Bovendien constateert de AIVD dat bedrijven en instellingen door het gebruik van clouddiensten zoals die van Dropbox, Apple, Microsoft en Google, risico's lopen. "De AIVD heeft vastgesteld dat clouddiensten doelwit zijn van digitale spionage en dat buitenlandse inlichtingendiensten investeren in hun relatie met clouddiensten. Het gebruik van clouddiensten brengt een spionagerisico met zich mee en gezien de concentratie van informatie binnen deze dienstverleners kan de mogelijke omvang en impact van deze dreiging groot zijn."

Eigenlijk zou je principieel als je bedrijf internationaal concurreert niet al je bestanden moeten plaatsen op de server van een land waarin jij of jouw bedrijf onder de categorie 'Foreigner' valt. Je krijgt dan niet eens notie als je data wordt opgevraagd. En het land gebruik 'spionage' voor haar economische belangen, dat blijft primair uit de patriot act, maar ook uit diverse zaken als echelon.

Maargoed, dat is ook niet iets dat je google kan aanrekenen. Het bedrijf is innovatief, en deze innovatie miste nog een puntje op de i, dat puntje zit er nu op.

Iblies @Verwijderd • 1 mei 2015 09:32

Google is mede-verantwoordelijk voor chrome.

Veiligheid komt daarbij vanzelf om de hoek kijken.

Het feit dat ze iets uitbrengen dat binnen een etmaal alweer gekraakt is,
geeft niet veel vertrouwen over het team dat er werkt en welke input ze daadwerkelijk hebben. Deze add-on werd uitgebracht met het idee het veiliger te maken en het werd er minder veiliger om.

Zoiets noem je een blamage.

Maar die zijn Google niet vreemd.
Een bekende is Google Glass die werd uitgebracht terwijl het team dat er mee bezig was liever had dat men nog even wachten omdat het product niet af was. Het bedrijf is te groot om het er op af te rekenen, maar het lijkt er op dat er een ongezonde mate van bureaucratie heerst tussen verschillende rangen en standen.

Verwijderd @Verwijderd • 1 mei 2015 09:41

Je moet het Google wel aanrekenen want zij komen op de proppen met deze extensie.

catfish @Verwijderd • 1 mei 2015 13:23

als Google van mening is dat ze "geen beveiligheids-bedrijf of een pro-privacy bedrijf" zijn, dan zou ik ze graag vragen om zo snel mogelijk te stoppen met de ontwikkeling van Chrome, Android, hardware, mail, bedrijfsloplossingen,...

van zodra je dergelijke stappen zet is beveiliging de nr1 en dan de rest
als ze hun beveiliging niet op orde krijgen dan wil ik hun software/hardware niet eens gebruiken

Verwijderd @catfish • 1 mei 2015 13:31

Onze overheid kan google natuurlijk niet oproepen om te stoppen met 'bedrijfs-oplossingen'. Omdat google een Amerikaans bedrijf is.

Maar wat ze wel met klem doet, is het zeer sterk afraden aan Nederlandse bedrijven om hun gevoelige bedrijfsinformatie op amerikaanse servers te zetten!

Tegen specifiek. o.a. Google waarschuwt onze overheid zeer sterk:

Bovendien constateert de AIVD dat bedrijven en instellingen door het gebruik van clouddiensten zoals die van Dropbox, Apple, Microsoft en Google, risico's lopen. "[i]De AIVD heeft vastgesteld dat clouddiensten doelwit zijn van digitale spionage en dat buitenlandse inlichtingendiensten investeren in hun relatie met clouddiensten. Het gebruik van clouddiensten brengt een spionagerisico met zich mee en gezien de concentratie van informatie binnen deze dienstverleners kunnen de mogelijke omvang en impact van deze dreiging groot zijn."[/i]

HooksForFeet @Verwijderd • 1 mei 2015 09:12

Het is wel heel snel gehacked inderdaad.
Maar in haar kern is google ook geen beveiligheids-bedrijf of een pro-privacy bedrijf, maar een online adverteerder en dienstverlener, dus je moet het google ook niet zo aanrekenen.

Pardon? Al was het een groenteboer die vertelt dat hij me kan beschermen tegen phishing: zij doen de bewering, zij moeten het waarmaken. Als ze dat niet kunnen reken ik ze dat aan.

Daarnaast heeft google deze Hack direct gedicht. Er is dus geen reden om kritisch te zijn naar google.

Daar zullen de meningen grondig over verschillen.

Kalief 1 mei 2015 09:05

verving Google de Password Alert-extensie naar versie 1.4

Maar wat is er dan aangepast in die nieuwe versie waardoor die exploit niet meer werkt?

xoniq @Kalief • 1 mei 2015 09:09

Alstu; de source:

https://github.com/google/password-alert

ronaldmathies @xoniq • 1 mei 2015 10:15

Kan aan mij liggen maar alle bestanden die aangepast zijn in de laatste twee dagen zijn alleen maar readme files.

De rest is meer dan vijf dagen geleden, dus wanneer is het precies gefixed?

Kijk je naar de commit historie dan is er ook niets over terug te vinden:

https://github.com/google...ert/commits/master/chrome

Dus of ze hebben het wel ge commit maar dan hadden ze wel betere commit messages mogen gebruiken.

[Reactie gewijzigd door ronaldmathies op 28 juli 2024 05:02]

ocwil @ronaldmathies • 1 mei 2015 10:48

"Fixed in the Chrome Web Store as version 1.4. I'll do an open-source push tomorrow."

is nog niet ge commit op github.
https://github.com/google/password-alert/issues/22

[Reactie gewijzigd door ocwil op 28 juli 2024 05:02]

kzin

1 mei 2015 09:07

Het zou ook geen kwaad kunnen als ik bij alle google sites een aparte naam/password kan ingeven.
Het is toch te gek dat als ik een android app koop, dat ik dan hetzelfde password moet gebruiken als voor gmail.

Keuvie @kzin • 1 mei 2015 09:48

Het is ook gewoon mogelijk:
https://support.google.com/mail/answer/1173270?hl=en

kzin

@Keuvie • 1 mei 2015 13:31

Dit ga ik eens proberen.

Normaal heb ik voor elke website een apart password. Daar wil ik niet van afwijken, alleen omdat alles van Google is.

borft @kzin • 1 mei 2015 09:16

Wat is daar het voordeel van? Je kunt gewoon een sterk wachtwoord gebruiken en 2-factor authenticatie aanzetten!

xoniq @borft • 1 mei 2015 09:45

Vooral dat laatste, gebruik ik ook.
Tegenwoordig krijgen steeds meer password apps ondersteuning voor de 2-factor authentication, en ook de OS'en zelf voor integratie met Gmail e.d.

WokeBroke 1 mei 2015 09:13

Dit is een kat en muis spel waar een browser brouwer niet aan moet beginnen. Op deze manier heb je over 10 jaar een veilige browser van 5gb waarvan 98% van de code beveiliging is.

xoniq @WokeBroke • 1 mei 2015 09:51

Wat is over 10 jaar nou 5 GB voor software?
De games die je dan speelt zitten dan al misschien tegen de 200 GB. De games bereiken nu al de 100 GB bijna.

Verwijderd 1 mei 2015 09:42

Om phisihing tegen te gaan wordt je dus geacht een keylogger in je browser te installeren, want dat is wat dit feitelijk doet. "Pluspunt": voor iedereen die een keylogger wil bouwen in zijn browser, op github vind je bij google een professionele installatie..... Nu nog ff wat aanpassen, in je site zetten en bingo. En als google het vervolgens als malware ziet dan werkt hun eigen "bescherming" ook niet.

Al met al een wat kinderlijke oplossing, maar wel educatief. Dat dan weer wel.

ultimasnake 1 mei 2015 10:33

Oy oy oy, Google zou de ogen uit zijn kop moeten schamen! In de DOM een object plaatsen van de website zelf die gewoon te manipuleren valt vanuit de site.... Dit is alsof een login pagina slechts een div plaats voor het CMS die je dus gewoon weg kan 'poetsen' om je ding te doen.

Verwijderd 1 mei 2015 10:42

Long live Firefox!

desalniettemin @Verwijderd • 2 mei 2015 20:24

I second that!

Fluttershy 1 mei 2015 09:16

"Volgens Moore kan Google zijn tijd beter stoppen in het leren van mensen om te gaan met wachtwoordmanagers."

Ambitieus. Ik zou voor een perpetuum mobile gaan; lijkt mij iets realistischer dan alle gebruikers goed met wachtwoorden om leren gaan.

hcQd @Fluttershy • 1 mei 2015 09:23

Ik zie ook niet hoe een wachtwoordmanager helpt tegen phishing, maar ik zal wel niet zo slim als Moore ziin.

The Zep Man

Google Chrome
Google

@hcQd • 1 mei 2015 09:39

Ik zie ook niet hoe een wachtwoordmanager helpt tegen phishing, maar ik zal wel niet zo slim als Moore ziin.

Een mogelijke uitleg is dat je een gebruiker zelf nooit meer een wachtwoord laat invullen, anders dan het wachtwoord van diens wachtwoordmanager. De wachtwoordmanager laat je willekeurige wachtwoorden genereren per site en ze alleen invullen op de daarvoor bestemde site. Een gegenereerd wachtwoord voor tweakers.net zal dan bijvoorbeeld nooit ingevuld worden op tweakers.ditisechtgeenphishingsite.org.

Phishing door gewoon te vragen om het wachtwoord werkt dan niet meer vanuit de veronderstelling dat een gebruiker het wachtwoord voor de gevraagde site gewoon niet weet. Je kan wel vragen om een wachtwoord van een wachtwoordmanager, maar daar heb je (remote) niets aan zonder de wachtwoordcontainer.

Natuurlijk kan een geavanceerdere vorm van phishing een gebruiker instrueren om een wachtwoord uit de wachtwoordmanager te halen, maar dit maakt het voor veel gebruikers al te complex, zeker als de wachtwoordmanager voor dit soort functies juist niet gebruiksvriendelijk is. En minder slachtoffers is 'winst' voor beveiliging.

The Zep Man

Google Chrome
Google

@MiesvanderLippe • 1 mei 2015 09:40

Keyloggers en dergelijke werken niet meer met een password manager.

Als je al een keylogger (malware) hebt draaien op je computer, dan is het een eitje om het master wachtwoord van de wachtwoordcontainer af te vangen en dat samen met de container op te sturen naar een webadres. Zo heb je met veel minder moeite alle wachtwoorden van de gebruiker.

En alles (wachtwoordcontainer + phishing of keylogging van het master wachtwoord, als dat wachtwoord er al is) is benaderbaar vanuit user space. Dit maakt het een peulenschil voor een beetje malware.

[Reactie gewijzigd door The Zep Man op 28 juli 2024 05:02]

xoniq @The Zep Man • 1 mei 2015 09:50

En toch kan jij jezelf in je hoofd stampen dat je master password een nietszeggende string met tekens is; zodat dit het enige wachtwoord is die jij hoeft te onthouden.

The Zep Man

Google Chrome
Google

@xoniq • 1 mei 2015 09:58

En toch kan jij jezelf in je hoofd stampen dat je master password een nietszeggende string met tekens is; zodat dit het enige wachtwoord is die jij hoeft te onthouden.

De complexiteit van een wachtwoord heeft geen enkele waarde wanneer het wachtwoord wordt afgevangen, wat het aanvalsscenario is dat ik omschreef in mijn reactie.

Een complex wachtwoord heeft alleen waarde tegen brute-force en dictionary aanvallen. Beide zijn niet relevant als de aanvaller het wachtwoord al bezit omdat de gebruiker dit vrijwillig afgeeft.

xoniq @The Zep Man • 1 mei 2015 10:40

Klopt, maar waar ik op doel is dat het voor een keylogger dan toch een stuk lastiger om het te zien als een wachtwoord.
Of gewoon zorgen dat je je computer fatsoenlijk afschermt en zorgvuldig om gaat met het browsen.

Toen ik nog Windows gebruikte had ik ook vrijwel nooit malware/virussen, en anderen die hebben een IE met 48 toolbars erin, en instant pop-ups die zo standaard waren dat die klakkeloos worden weg geklikt.

Het blijft een kat-en-muis spel, maar als je je gezonde verstand gebruikt valt het allemaal wel wat mee.

The Zep Man

Google Chrome
Google

@xoniq • 1 mei 2015 11:19

Klopt, maar waar ik op doel is dat het voor een keylogger dan toch een stuk lastiger om het te zien als een wachtwoord.

Een keylogger is malware. Een beetje malware gaat niet alleen voor je toetsaanslagen, maar ook voor je meest gevoelige data. Alleen maar een complex wachtwoord kiezen om misschien ooit een lokale keylogger te slim af te zijn is een grote investering van de gebruiker tegen een klein risico (wel een keylogger, geen andere data gestolen). Als men al lokaal software weet te installeren, moet je ervan uit gaan dat je de strijd hebt verloren en dat al je gegevens op straat liggen.

Of gewoon zorgen dat je je computer fatsoenlijk afschermt en zorgvuldig om gaat met het browsen.

Dat is de meest aanbevolen oplossing. Eens.

Toen ik nog Windows gebruikte had ik ook vrijwel nooit malware/virussen, en anderen die hebben een IE met 48 toolbars erin, en instant pop-ups die zo standaard waren dat die klakkeloos worden weg geklikt.

Dit is iets waar bijvoorbeeld een adblocker veel gebruikers had kunnen beschermen en wat veel economische schade had kunnen voorkomen.

Het blijft een kat-en-muis spel, maar als je je gezonde verstand gebruikt valt het allemaal wel wat mee.

En daar zit het probleem. Geen twee gebruikers zijn gelijk. Als je een miljoen mensen probeert aan te vallen (bijvoorbeeld via phishing) en tien aanvallen slagen, dan heb je al winst.

batjes

Google Chrome

@The Zep Man • 1 mei 2015 11:27

Een reden waarom ik mijn verschillende wachtwoorden liever in mijn hoofd laat zitten.

Leuk zo'n centrale plek voor al je logins.....hoe makkelijk wil je het maken voor aanvallers.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (50)

Sorteer op:

Weergave: