研究人员中和谷歌’s密码警报,带有几行代码

谷歌’Chrome的S密码警报扩展,周三发布,有 已收到 它的第一个关键安全更新不到24小时后,因为Infosec顾问Paul Moore提出了一个简单的漏洞,绕过它。

要演示它,他创建了一个看起来非常像Google登录页面的页面,并在其中插入了以下代码:


因为他 解释 对于Dan Goodin,代码搜索警告_Banner(当它找到网络钓鱼站点时,密码警报插件创建的窗口),如果它发现它,它会删除它。

该动作每5毫秒重复,有效地删除警告窗口,如此快’对于用户不可能注意到其存在。

“[扩展]提供任何实际保护水平的建议是可笑的,”摩尔评论道,并建议谷歌推送用户选择密码经理,因为他们可以’不容易被网络钓鱼页面欺骗。

更新: 而且,显然,摩尔 又那么做了,这次通过在输入每个密码字符后使代码刷新浏览器页面,阻止触发警报。

分享这个