Thứ bảy, 02 Tháng 5 2015 16:43

Hacker dễ dàng vượt qua Google Password Alert Nổi bật

Được viết bởi 
Đánh giá bài viết
(9 Đánh giá)

Chừa đầy 24 giờ sau khi Google tung ra phần mở rộng chống lừa đảo mới (Phishing alert extension: Password Alert), một nhà nghiên cứu bảo mật đã tìm ra cách có thể bỏ qua tính năng này một cách rất đơn.

Thứ tư vừa qua, Gã khổng lồ Google tung ra một extension Password Alert cho Chrome để cảnh báo người sử dụng bất cứ khi nào họ vô tình nhập mật khẩu tài khoản Google của họ trên một trang web lừa đảo nhằm mục đích cướp tài khoản người dùng.

Tuy nhiên, chuyên gia bảo mật Paul Moore dễ dàng sử dụng chỉ bảy dòng mã JavaScript đơn giản mà loại bỏ cảnh báo lừa đảo ngay sau khi nó bắt đầu xuất hiện, vượt qua extension Password Alert của Google.

bypass Google Password Alert

Tuy nhiên, chuyên gia bảo mật Paul Moore dễ dàng sử dụng chỉ bảy dòng mã JavaScript đơn giản mà loại bỏ cảnh báo lừa đảo ngay sau khi nó bắt đầu xuất hiện, vượt qua extension Password Alert của Google.

Trong một thời gian ngắn Google đã xác định vấn đề và phát hành một bản cập nhật mới để extension Password Alert chặn được khai thác của Moore. Tuy nhiên, Moore lại phát hiện ra một cách để chặn Phiên bản mới của Password Alert.

Bằng chứng đầu tiên của khái niệm khai thác bởi Moore dựa vào một đoạn mã trông cho trường hợp cảnh báo màn hình mỗi 5 giây và chỉ đơn giản là loại bỏ bất cứ điều gì nó phát hiện. Nói chung, màn hình cảnh báo là vẫn còn đó, nhưng việc khai thác ngăn chặn người dùng nhìn thấy nó.

Moore (@Paul_Reviews) đăng việc khai thác dùng JavaScript bằng chứng của khái niệm hôm qua, giải thích rằng mật khẩu của Google cảnh báo có thể được bỏ qua bởi bất cứ ai sử dụng chỉ bảy dòng mã.

Tuy nhiên, Google đảm bảo người sử dụng rằng công ty đã xác định các vấn đề, phát hành phiên bản Password Alert 1.4. "Để cập nhật một cách nhanh chóng, đi đến Chrome://extensions/, kích hoạt chế độ phát triển, bấm vào tiện ích mở rộng Cập Nhật bây giờ," kỹ sư Google Drew Hintz nói.


Nhưng Moore không muốn dừng lại ở đây. Ông bắt đầu phân tích mã cho phần mở rộng chặt chẽ hơn và đã tìm ra một cách khác để vượt qua (bypass) Password Alert, có thể chặn cảnh báo lừa đảo ngay sau khi nó được tạo ra.

Mọi chuyện không đơn giản như vậy:

Theo Moore, khai thác thứ hai được phát triển bởi anh ta sẽ khó khăn hơn cho Google để sửa chữa.

Moore cũng cung cấp một bằng chứng khai thác trên YouTube. Bạn có thể xem video dưới đây:




Bây giờ, hãy xem bao lâu Gã khổng lồ tìm kiếm có thể khắc phục vấn đề này.

Công nghệ vừa tung ra bởi Google vào ngày thứ tư, do đó bạn có thể mong đợi một số sai sót ở giai đoạn đầu của nó. Mật khẩu thông báo phần mở rộng đã được cài đặt bởi gần 30.000 Chrome, người dùng nên cập nhật phiên bản 1.4, phiên bản mới nhất có sẵn tại thời điểm này, để sửa chữa vấn đề đầu tiên.


Để giải quyết một vấn đề, bạn có thể phải chờ đợi cho đến khi Google phát hành Cập Nhật tiếp theo. Cho đến sau đó, bạn nên bật xác thực 2 yếu tố và sử dụng một phần mềm quản lý mật khẩu tốt để tự bảo vệ mình chống lại cuộc tấn công lừa đảo.


Cập Nhật: GOOGLE ALERT 1.6 cũng bị bypass


Sau khi Google phát hành phiên bản Cập Nhật 1.6 của Password Alert khăc phục khai thác thứ hai bởi Paul Moore, nhà nghiên cứu bảo mật từ công ty Securify phát hiện ra một cách khác để một lần nữa vượt qua tính năng mật khẩu cảnh báo của Google trong phiên bản mới nhất.


Các nhà nghiên cứu tạo một khai thác mới mà các công trình chống lại cả hai phiên bản Password Alert 1.5 và phiên bản 1.6, thực hiện trong hai bước sau:


1. Vô hiệu hóa Javascript: Trong HTML, khung nội tuyến có một thuộc tính chỗ thử bằng cách sử dụng mà kẻ tấn công có thể vô hiệu hóa Javascript cho cụ thể khung nội tuyến chỉ. Ví dụ sau sẽ hoàn toàn vô hiệu cảnh báo mật khẩu. PoC là khá đơn giản:


<iframe src="/phishing_page.htm" sandbox="allow-forms"></iframe>


2. Lừa với 100.000 byte trống đầu tiên: Google Password Alert kiểm tra xem một trang web trông giống như một đăng nhập Google bằng cách nhìn vào 100.000 byte đầu tiên của HTML. Vì vậy, điều này có thể được bỏ qua chỉ đơn giản bằng cách sử dụng JavaScript sau đây:


passwordalert.looksLikeGooglePageTight_ = function () {var allHtml = document.documentElement.innerHTML.slice (0, 100000);}

Đọc 4066 lần

Xin vui lòng để lại nhận xét

Vui lòng điền đầy đủ các mục (*) bắt buộc. Comment không hỗ trợ HTML.

About us

Website được thành lập với mong muốn đưa kiến thức an ninh thông tin, những tin tức cảnh báo và hỗ trợ ứng cứu sự cố về mất an ninh, an toàn thông tin.

Sau hơn 4 năm học hỏi và phát triển chúng tôi luôn tự hào với đội ngũ chuyên gia hàng đầu về an ninh thông tin.

Chúng tôi hoạt động với tinh thần và phương châm kiên định:

"Vì một thế giới mạng an toàn hơn".

Last posts

Newsletter

Nhận cảnh báo, tin tức cập nhật mới nhất về tình hình an ninh mạng, lỗ hổng, công nghệ mới...