image

Kat-en-muisspel rond Google Password Alert duurt voort

zondag 3 mei 2015, 07:28 door Redactie, 12 reacties

Er is inmiddels een waar kat-en-muisspel ontstaan rond de Password Alert-extensie van Google die Chromegebruikers tegen phishingaanvallen moet beschermen, maar inmiddels een aantrekkelijk doelwit van onderzoekers is geworden die de uitbreiding steeds proberen te omzeilen en daar ook in slagen.

Password Alert zorgt ervoor dat gebruikers die hun Google-wachtwoord op een phishingsite invullen een waarschuwing krijgen. Vervolgens is het mogelijk om vanuit de waarschuwing het wachtwoord te wijzigen. Eerder deze week slaagde de Britse securityconsultant Paul Moore erin om Password Alert via een script van zeven regels te omzeilen. Gebruikers kregen in dit geval geen waarschuwing als ze hun Google-wachtwoord op een phishingsite invulden.

Google kwam met een update naar versie 1.4, die ook door Moore werd omzeild. Wederom publiceerde Google een nieuwe versie, 1.5, waarop het Nederlandse beveiligingsbedrijf Securify met een manier kwam om de waarschuwing te omzeilen. Het duurde echter niet lang voordat Google ook deze aanval had afgevangen en versie 1.6 uitbracht. Onderzoekers zijn er nu in geslaagd ook deze versie, wat de meest recente versie is, te omzeilen.

"Inmiddels hebben we weer een nieuwe manier gevonden om Password Alert te omzeilen. Door het loginformulier in een iframe te laden waarvan Javascript is uitgeschakeld, is het niet meer mogelijk voor Password Alert om toetsaanslagen af te vangen. Hierdoor werkt de detectie niet meer", zegt Yorick Koster van Securify tegenover Security.NL. "In feite is dit een kat-en-muisspel. De extensie controleert of een gebruiker zijn Google-accountgegevens heeft ingevuld: e-mailadres en wachtwoord. Wanneer één van die twee niet meer goed doorkomt, dan werkt de detectie niet meer."

Reacties (12)
03-05-2015, 11:47 door Anoniem
Oh my god!! Je zou toch denken dat ze bij Google goede code kunnen maken!!
03-05-2015, 12:29 door Anoniem
Vervolgens is het mogelijk om vanuit de waarschuwing het wachtwoord te wijzigen.
Los van het gemak waarmee het te omzeilen is, is dit niet vragen om phishing-aanvallen die zich voordoen als deze dialoog?
03-05-2015, 14:03 door Anoniem
Door Anoniem: Oh my god!! Je zou toch denken dat ze bij Google goede code kunnen maken!!

Waarom zou je dat denken?

Op deze site heeft u kunnen lezen dat Google Chrome met vijhonderd veiligheidslekken in een jaar, zelfs I.E. van de troon gestoten heeft.

Het opslaan van wachtwoorden in platte tekst is ook niet echt veilig.

"Google doesn't always get security right - far from it. There have, after all, been holes poked in Google's security reputation.

Researchers exposed a gaping hole in code verification on Android due to poor coding.

One week later, well, it was déjà vu all over again.

Chinese researchers found another bug with the same side-effect - a signed-unsigned integer mismatch that once again left a gaping hole in code verification."
03-05-2015, 16:24 door Anoniem
het Nederlandse beveiligingsbedrijf Securify
Het was een mooi spearphishing attack domein geweest tegen deze site.
Zoek de verschillen:
security.nl
securify.nl
Gelukkig is het domein door/voor een goed doel bezet.

Op het oog minder gelukkig, op zijn minst grappig: securify - vacatures
Java Developer

Als ontwikkelaar ga je meedenken en bouwen aan een nieuw innovatief platform om fraude (malware) mee te bestrijden.
:'))

Het project staat nog in de startfase waardoor je nog volop mee kunt denken. Daarnaast leer je alles over security testing en kun je op termijn ook onze Security Specialisten helpen bij het uitvoeren van technische beveiligingsonderzoeken op uiteenlopende applicaties, veelal grote en/of innovatieve projecten.
Onder de lezers van deze site is vast nog wel een leerkandidaat daarvoor te porren.
Al zijn de functie-eisen ten aanzien van security ervaring en inzichten voor sommigen nog wel wat hoog gegrepen misschien.
Te vinden op de afdeling Java-vacancies' van die site
https://securify.nl/vacancies.html

Plagerijtje natuurlijk, 'Java is suuper veilig' en 'developers zijn zelf uitermate secuur wat betreft de eigen security' als iedereen tenminste maar zijn software up to date houdt.

Wat eindgebruikers dan weer helaas massaal niet doen.
https://www.security.nl/posting/40193/Ook+Microsoft+gehackt+via+Java-lek
https://www.security.nl/posting/40143/Apple+gehackt+via+Java-lek
https://www.security.nl/posting/40101/Facebook+gehackt+via+Java+zero-day-lek
Oud nieuws, iedereen heeft zijn leven gebeterd!
Zou het? Keep on .. ?

Zonnige vakantie toegewenst met/op Java.
03-05-2015, 16:26 door Eric-Jan H te D - Bijgewerkt: 03-05-2015, 16:35
Een professor van het CWI in Amsterdam zei in en gastcollege eens: "beveiliging die lek is, is als een zeef. Je krijg hem bijna nooit meer dicht.".

Het fundamentele probleem is dat HTML/Javascript niet ontworpen is om een dergelijke beveiliging te bieden. En dat het mechanisme van het invoeren van wachtwoorden er in de gebruikte vorm ook geen voorzieningen voor heeft.

Het mechanisme dat Windows bijvoorbeeld kent om hergebruik van, en zwakke wachtwoorden te voorkomen is in de kern aanwezig. Dat kan natuurlijk ook wel fouten bevatten in de vorm slechte code, maar is architectonisch robuuster.

Om iets dergelijks te bereiken zou de "Password Alert" al voor het tonen van het originele inlog-scherm moeten ingrijpen en het inlogproces moeten emuleren; bijvoorbeeld met een modal popup. Maar ik ben bang dat dat weer tegen allerlei andere goede beveiligingsprincipes zondigt. Het zou wel het voordeel bieden, dat het Windows mechanisme nu ook biedt: "Voorkomen dat de onwenselijke situatie optreed. Ipv. achteraf waarschuwen".

Het pad dat Google nu heeft gekozen is een "dead end"
03-05-2015, 21:10 door [Account Verwijderd]
[Verwijderd]
03-05-2015, 22:54 door [Account Verwijderd]
[Verwijderd]
03-05-2015, 23:02 door [Account Verwijderd]
[Verwijderd]
04-05-2015, 09:02 door Anoniem
Door Anoniem:
Door Anoniem: Oh my god!! Je zou toch denken dat ze bij Google goede code kunnen maken!!

Waarom zou je dat denken?

Op deze site heeft u kunnen lezen dat Google Chrome met vijhonderd veiligheidslekken in een jaar, zelfs I.E. van de troon gestoten heeft.
Google is volledig openen over bugs in hun browser, Microsoft bij lange na niet.

Cijfers creatief interpreteren, dan zou ik ook als anoniem reageren.
04-05-2015, 10:47 door karma4
Door Anoniem:
Door Anoniem:
Door Anoniem: Oh my god!! Je zou toch denken dat ze bij Google goede code kunnen maken!!

Waarom zou je dat denken?

Op deze site heeft u kunnen lezen dat Google Chrome met vijhonderd veiligheidslekken in een jaar, zelfs I.E. van de troon gestoten heeft.
Google is volledig openen over bugs in hun browser, Microsoft bij lange na niet.

Cijfers creatief interpreteren, dan zou ik ook als anoniem reageren.

Ken je die mop van de ene anonieme tegen de andere anonieme over creatief interpreteren?
- Je moet niet anoniem reageren.

Prachtig opnemen in het grote moppenboek. { :<))

En nog eentje een security specialist die beweerd dat zijn ideale leverancier alles fantastisch doet. Vervolgens reageerd alsof hij persoonlijk aangevallen wordt dat het om creatieve manipulatie gaat. Even checken
http://news.softpedia.com/news/Google-Chrome-Recorded-the-Highest-Number-of-Vulnerabilities-in-January-2015-473426.shtml Waar is de kritische mindset gebleven?

Hebben we het over java-script dan is dat een interpreter. Niet iets waar je security aan ophangt (privilege escalation).
04-05-2015, 10:50 door [Account Verwijderd] - Bijgewerkt: 04-05-2015, 10:53
[Verwijderd]
04-05-2015, 18:56 door Anoniem
Door Krakatau: Google betaalt grof geld om problemen in haar software op te sporen en daarom worden er ook veel gevonden! Dat soort lekken zitten natuurlijk ook in bv. Internet Explorer maar daar worden ze door de hush hush benadering van Microsoft niet gevonden (en dat is veel erger want hackers vinden en gebruiken ze natuurlijk wel).
En het kan nog mooier, Oracle doet het omgekeerd, zij levert elk kwartaal zelf haar vele kritische kwetsbaarheden op een presenteerblaadje aan iedereen die daar gebruik van wil maken.
Met als gevolg dat niemand er nog over peinst op zoek te gaan naar al die kritieke gaten in Oracle producten, misbruik van door Oracle aangeleverde kwetsbaarheden volstaat, de meeste klanten lopen immers toch meer dan twee kwartalen in het update circus achterop.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.