Extensão para o Chrome tem problemas de segurança.
Uma extensão de segurança para o Chrome desenvolvida pelo Google, a Anti-Phishing Password Alert, está se mostrando incapaz de cumprir o que promete. Desde o seu lançamento na quarta-feira passada (29/04), dois problemas que permitem que páginas maliciosas burlem a proteção oferecida foram demonstrados e ainda não há solução definitiva.
O problema todo começou quando o Google lançou a extensão, desenvolvida pelo especialista em segurança Drew Hintz, como uma medida para alertar os seus usuários caso eles acidentalmente digitem suas senhas pessoais em alguma página clonada (site de phishing).
No entanto, antes mesmo da extensão completar 24 horas no ar, um consultor de segurança encontrou uma brecha para burlar a ferramenta com grande simplicidade. Paul Moore usou algumas linhas de código JavaScript para desabilitar o alerta tão logo ele fosse exibido, permitindo que páginas maliciosas anulassem a extensão.
O Google rapidamente consertou o problema e soltou uma nova versão da Password Alert que impedia o exploit de Moore. Mas o consultor descobriu outra maneira de burlar a nova extensão.
Moore publicou um vídeo no YouTube demonstrando a ação de ataque.
A última versão colocada pelo Google na Chrome Web Store, a 1.6, data do dia 1º de maio. Mas já está no ar um código da versão 1.7, que ainda não foi lançada pela empresa. O segundo código de Moore ainda funciona para burlar a extensão na versão atualmente disponibilizada pelo Google.
A técnica de Moore faz com que a página seja recarregada a cada tecla digitada. Isso impede a extensão de “enxergar” a senha completa e, por isso, o alerta não é exibido.
Estima-se que a extensão já esteja instalada em cerca de 70 mil navegadores de usuários no mundo todo.
Linha Defensiva 