×

Восстановление пароля

Метод обхода Password Alert от Google найден менее чем через сутки после запуска сервиса

Исследователь смог скрыть от жертв антифишинговое предупреждение, используя семь строк кода JavaScript.

Прошло меньше 24 часов после запуска Chrome-плагина Password Alert от Google, а IT-эксперты уже обнаружили метод обхода нового инструмента безопасности. Используя крайне примитивный эксплоит независимый исследователь Пол Мур (Paul Moore) смог избежать появления антифишингового предупреждения на системе потенциальной жертвы. 
Для успешного нападения, как оказалось, достаточно было использовать семь строк кода JavaScript, который автоматически скрывает соответствующее уведомление, как только оно начинает появляться. Эта брешь была оперативно устранена разработчиками, однако вскоре Мур обнаружил еще одну. 
Вторая уязвимость также позволяет скрывать уведомления от пользователей, но проэксплуатировать ее не так легко. Вместе с тем, по данным исследователя, Google будет испытывать аналогичные затруднения при устранении бреши. 
В качестве доказательства и для пояснения подробностей Мур опубликовал на YouTube видео, где атака осуществляется в режиме реального времени.

Источник: SecurityLab.ru