Doar șapte linii de cod sunt necesare cuiva interesat să acceseze contul tău de gmail, pentru a trece de serviciul Google Password Alert.
Demonstrația a fost făcută de un expert în securitate informatică, care, doar cu un simplu program JavaScript, a exploatat slăbiciunea extensiei browser-ului Chrome, care ar trebui să avertizeze utilizatorul că introduce datele de logare ale contului său de email într-o pagina de web de tip scam sau phishing.
Scriptul care inhibă alertele lansate de extensia browser-ului este foarte simplu, el verificând la fiecare cinci milisecunde inițierea vreunui mesaj de alertă și împiedicând livrarea acestuia utilizatorului
"Este destul de jenant pentru Google, oricine poate lansa un atac de tip phishing împotriva unui cont Google doar prin adăugarea a șapte linii de cod care vor face inutil serviciul Password Alert", a declarat expertul IT.
Mai mult, el a avertizat că oricine intenționează să utilizeze acest tool, trebuie să țină cont de riscurile la care se expune, în forma sa actuală, fiind extrem de nesigur.
Google nu a răspuns în mod direct acestei informații, dar la scurt timp a trimis în piață un update al acestei aplicații, care la rândul său a picat testul de siguranță, fiind la fel de vulnerabilă .
Experții în securitate informatică atrag atenția că este extrem de posibil să apară și alte căi de exploatare ale tehnologiei folosită de Google pentru dezvoltarea acestei aplicații. Există o slăbiciune la atacuri de tip brute force, o pagină de web de tip malicious putând genera false imputuri de tastatură, achiziționând lungimea parolei utilizatorului.
forbes.com
