Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Kat-en-muisspel rond Google Password Alert duurt voort

zondag 3 mei 2015, 07:28 door Redactie, 12 reacties

Er is inmiddels een waar kat-en-muisspel ontstaan rond de Password Alert-extensie van Google die Chromegebruikers tegen phishingaanvallen moet beschermen, maar inmiddels een aantrekkelijk doelwit van onderzoekers is geworden die de uitbreiding steeds proberen te omzeilen en daar ook in slagen.

Password Alert zorgt ervoor dat gebruikers die hun Google-wachtwoord op een phishingsite invullen een waarschuwing krijgen. Vervolgens is het mogelijk om vanuit de waarschuwing het wachtwoord te wijzigen. Eerder deze week slaagde de Britse securityconsultant Paul Moore erin om Password Alert via een script van zeven regels te omzeilen. Gebruikers kregen in dit geval geen waarschuwing als ze hun Google-wachtwoord op een phishingsite invulden.

Google kwam met een update naar versie 1.4, die ook door Moore werd omzeild. Wederom publiceerde Google een nieuwe versie, 1.5, waarop het Nederlandse beveiligingsbedrijf Securify met een manier kwam om de waarschuwing te omzeilen. Het duurde echter niet lang voordat Google ook deze aanval had afgevangen en versie 1.6 uitbracht. Onderzoekers zijn er nu in geslaagd ook deze versie, wat de meest recente versie is, te omzeilen.

"Inmiddels hebben we weer een nieuwe manier gevonden om Password Alert te omzeilen. Door het loginformulier in een iframe te laden waarvan Javascript is uitgeschakeld, is het niet meer mogelijk voor Password Alert om toetsaanslagen af te vangen. Hierdoor werkt de detectie niet meer", zegt Yorick Koster van Securify tegenover Security.NL. "In feite is dit een kat-en-muisspel. De extensie controleert of een gebruiker zijn Google-accountgegevens heeft ingevuld: e-mailadres en wachtwoord. Wanneer één van die twee niet meer goed doorkomt, dan werkt de detectie niet meer."

Wachtwoord Britse spoorwegen gelekt tijdens tv-uitzending
ING: helft ondernemers wijzigt wachtwoorden nooit
Reacties (12)
03-05-2015, 11:47 door Anoniem
Oh my god!! Je zou toch denken dat ze bij Google goede code kunnen maken!!
03-05-2015, 12:29 door Anoniem
Vervolgens is het mogelijk om vanuit de waarschuwing het wachtwoord te wijzigen.
Los van het gemak waarmee het te omzeilen is, is dit niet vragen om phishing-aanvallen die zich voordoen als deze dialoog?
03-05-2015, 14:03 door Anoniem
Door Anoniem: Oh my god!! Je zou toch denken dat ze bij Google goede code kunnen maken!!

Waarom zou je dat denken?

Op deze site heeft u kunnen lezen dat Google Chrome met vijhonderd veiligheidslekken in een jaar, zelfs I.E. van de troon gestoten heeft.

Het opslaan van wachtwoorden in platte tekst is ook niet echt veilig.

"Google doesn't always get security right - far from it. There have, after all, been holes poked in Google's security reputation.

Researchers exposed a gaping hole in code verification on Android due to poor coding.

One week later, well, it was déjà vu all over again.

Chinese researchers found another bug with the same side-effect - a signed-unsigned integer mismatch that once again left a gaping hole in code verification."
03-05-2015, 16:24 door Anoniem
het Nederlandse beveiligingsbedrijf Securify
Het was een mooi spearphishing attack domein geweest tegen deze site.
Zoek de verschillen:
security.nl
securify.nl
Gelukkig is het domein door/voor een goed doel bezet.

Op het oog minder gelukkig, op zijn minst grappig: securify - vacatures
Java Developer

Als ontwikkelaar ga je meedenken en bouwen aan een nieuw innovatief platform om fraude (malware) mee te bestrijden.
:'))

Het project staat nog in de startfase waardoor je nog volop mee kunt denken. Daarnaast leer je alles over security testing en kun je op termijn ook onze Security Specialisten helpen bij het uitvoeren van technische beveiligingsonderzoeken op uiteenlopende applicaties, veelal grote en/of innovatieve projecten.
Onder de lezers van deze site is vast nog wel een leerkandidaat daarvoor te porren.
Al zijn de functie-eisen ten aanzien van security ervaring en inzichten voor sommigen nog wel wat hoog gegrepen misschien.
Te vinden op de afdeling Java-vacancies' van die site
https://securify.nl/vacancies.html

Plagerijtje natuurlijk, 'Java is suuper veilig' en 'developers zijn zelf uitermate secuur wat betreft de eigen security' als iedereen tenminste maar zijn software up to date houdt.

Wat eindgebruikers dan weer helaas massaal niet doen.
https://www.security.nl/posting/40193/Ook+Microsoft+gehackt+via+Java-lek
https://www.security.nl/posting/40143/Apple+gehackt+via+Java-lek
https://www.security.nl/posting/40101/Facebook+gehackt+via+Java+zero-day-lek
Oud nieuws, iedereen heeft zijn leven gebeterd!
Zou het? Keep on .. ?

Zonnige vakantie toegewenst met/op Java.
03-05-2015, 16:26 door Eric-Jan H te D - Bijgewerkt: 03-05-2015, 16:35
Een professor van het CWI in Amsterdam zei in en gastcollege eens: "beveiliging die lek is, is als een zeef. Je krijg hem bijna nooit meer dicht.".

Het fundamentele probleem is dat HTML/Javascript niet ontworpen is om een dergelijke beveiliging te bieden. En dat het mechanisme van het invoeren van wachtwoorden er in de gebruikte vorm ook geen voorzieningen voor heeft.

Het mechanisme dat Windows bijvoorbeeld kent om hergebruik van, en zwakke wachtwoorden te voorkomen is in de kern aanwezig. Dat kan natuurlijk ook wel fouten bevatten in de vorm slechte code, maar is architectonisch robuuster.

Om iets dergelijks te bereiken zou de "Password Alert" al voor het tonen van het originele inlog-scherm moeten ingrijpen en het inlogproces moeten emuleren; bijvoorbeeld met een modal popup. Maar ik ben bang dat dat weer tegen allerlei andere goede beveiligingsprincipes zondigt. Het zou wel het voordeel bieden, dat het Windows mechanisme nu ook biedt: "Voorkomen dat de onwenselijke situatie optreed. Ipv. achteraf waarschuwen".

Het pad dat Google nu heeft gekozen is een "dead end"
03-05-2015, 21:10 door [Account Verwijderd]
[Verwijderd]
03-05-2015, 22:54 door [Account Verwijderd]
[Verwijderd]
03-05-2015, 23:02 door [Account Verwijderd]
[Verwijderd]
04-05-2015, 09:02 door Anoniem
Door Anoniem:
Door Anoniem: Oh my god!! Je zou toch denken dat ze bij Google goede code kunnen maken!!

Waarom zou je dat denken?

Op deze site heeft u kunnen lezen dat Google Chrome met vijhonderd veiligheidslekken in een jaar, zelfs I.E. van de troon gestoten heeft.
Google is volledig openen over bugs in hun browser, Microsoft bij lange na niet.

Cijfers creatief interpreteren, dan zou ik ook als anoniem reageren.
04-05-2015, 10:47 door karma4
Door Anoniem:
Door Anoniem:
Door Anoniem: Oh my god!! Je zou toch denken dat ze bij Google goede code kunnen maken!!

Waarom zou je dat denken?

Op deze site heeft u kunnen lezen dat Google Chrome met vijhonderd veiligheidslekken in een jaar, zelfs I.E. van de troon gestoten heeft.
Google is volledig openen over bugs in hun browser, Microsoft bij lange na niet.

Cijfers creatief interpreteren, dan zou ik ook als anoniem reageren.

Ken je die mop van de ene anonieme tegen de andere anonieme over creatief interpreteren?
- Je moet niet anoniem reageren.

Prachtig opnemen in het grote moppenboek. { :<))

En nog eentje een security specialist die beweerd dat zijn ideale leverancier alles fantastisch doet. Vervolgens reageerd alsof hij persoonlijk aangevallen wordt dat het om creatieve manipulatie gaat. Even checken
http://news.softpedia.com/news/Google-Chrome-Recorded-the-Highest-Number-of-Vulnerabilities-in-January-2015-473426.shtml Waar is de kritische mindset gebleven?

Hebben we het over java-script dan is dat een interpreter. Niet iets waar je security aan ophangt (privilege escalation).
04-05-2015, 10:50 door [Account Verwijderd] - Bijgewerkt: 04-05-2015, 10:53
[Verwijderd]
04-05-2015, 18:56 door Anoniem
Door Krakatau: Google betaalt grof geld om problemen in haar software op te sporen en daarom worden er ook veel gevonden! Dat soort lekken zitten natuurlijk ook in bv. Internet Explorer maar daar worden ze door de hush hush benadering van Microsoft niet gevonden (en dat is veel erger want hackers vinden en gebruiken ze natuurlijk wel).
En het kan nog mooier, Oracle doet het omgekeerd, zij levert elk kwartaal zelf haar vele kritische kwetsbaarheden op een presenteerblaadje aan iedereen die daar gebruik van wil maken.
Met als gevolg dat niemand er nog over peinst op zoek te gaan naar al die kritieke gaten in Oracle producten, misbruik van door Oracle aangeleverde kwetsbaarheden volstaat, de meeste klanten lopen immers toch meer dan twee kwartalen in het update circus achterop.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Werk jij nog thuis?

17 reacties
Aantal stemmen: 1199
Vacature
Image

Security Officer

36 - 40 uur

Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

16 reacties
Lees meer
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2020 Security.nl - The Security Council
RSS Twitter