21 noviembre 2024

Versión actualizada de Password Alert de Google vuelve a fallar con el uso de un simple script

password-alert-para-chrome

El miércoles les comentaba sobre el lanzamiento de una nueva extensión para Chrome llamada Password Alert, desarrollada por Google con el objetivo de notificar al usuario en caso de un ataque de Phishing a través de una página falsa.  En la notificación a través de una ventana emergente, Google le indica al usuario que su contraseña fue expuesta a un sitio que no es de Google y lo invita a cambiar la contraseña de Google o en caso de estar seguro de que ese sitio es el correcto y utiliza la misma contraseña que usa en Google, ignorar la notificación.

A poco menos de 24 horas del lanzamiento, el investigador en seguridad informática del Grupo Urity del Reino Unido, Paul Moore, logró pasar los controles de la extensión a través de un simple script que no tiene más de 7 líneas de código.  Lo que hace es script es correr cada 5 milisegundos, buscando por la página de la notificación y cuando la encuentra la elimina, o sea la extensión funciona bien, pero el usuario no llega a ver la notificación de Password Alert.

Poco tiempo después Google lanzó una actualización que arreglaba la vulnerabilidad, pero a las pocas horas el mismo investigador, con un script de solo 3 líneas de código,  vuelve  a pasar los controles de la extensión y si bien no es tan eficaz como en la versión anterior, Paul Moore indica que se tiene éxito en el 90% de los intentos, solo no es efectivo cuando el usuario escribe la contraseña muy lentamente.

En este segundo caso el script refresca la página del navegador cada vez que el usuario ingresa un carácter de la contraseña, eso causa que el navegador piense que el usuario solo ingresó el primer carácter de la contraseña, por lo que la notificación nunca aparece en pantalla.

Siguenos por Twitter a través de @Geeksroom y no te pierdas todas las noticias, cursos gratuitos y demás artículos. También puedes seguirnos a través de nuestro canal de Youtube para ver nuestros vídeos, a través de Instagram para ver nuestras imágenes! O vía Bluesky si ya estás cansado de Twitter

Hector Russo

Desde su juventud se ha dedicado a la Tecnología de la Información. En su oportunidad fue incluido por Ivy Worldwide en su lista Top 25 influencers en Tecnología. Actualmente es miembro del panel de jurados que elige los mejores vehículos del año para el mercado hispano de Estados Unidos, a través de los Hispanic Motor Press Awards.

Ver todas las entradas de Hector Russo →