「フィッシング警告をミュートする攻撃をブロックするためのGoogleのアップデートパスワードアラート」

Googleの新しいフィッシング警告拡張機能Password Alertをインストールした約30,000人のChromeユーザーは、セキュリティアップデートをインストールする必要があります。

Googleは水曜日にPassword Alertをリリースしたばかりで、英国の企業Urity Groupの情報セキュリティコンサルタントであるポール・ムーア氏は、ツールをバイパスするために誰もが使用できるコードをいくつか考案した後、

Googleは無料のChrome拡張機能をリリースし、フィッシング詐欺の手法を使用してユーザーの資格情報を奪い取ろうとする悪質なウェブサイトに対して、Gmailユーザーに特別な保護を与えました。この拡張機能は、仕事場でのGoogleの保護やフィッシング攻撃からの職場のアカウントへの保護を目的としています。

ガートナー氏によると、Google Chromebookの企業向け売上は、2018年までに年間800万件に達する可能性があるという。

パスワードアラートには、ユーザーのパスワードのハッシュバージョンが保存されます。ユーザーが自分のGmailパスワードをGoogle以外のサイトに入力すると、パスワードをリセットするよう警告するフラグが表示されます。

しかし、Mooreはすぐに警告をミュートする方法を発見し、昨日、フィッシング詐欺のページと同じように、Googleのログインページに似た概念的な悪用証明を公開した。 Ars Technicaは木曜の攻撃に注意を喚起し、ユーザーがページにパスワードを入力することはおそらく賢明ではないと指摘する。 Googleは現在ムーアのページをフィッシングサイトに指定しています。

ムーア氏は昨日関係するコード行を掲示し、ツールが「設定間隔で警告バナーをDOMから削除する機能で敗れる」と説明した。

GoogleセキュリティエンジニアのDrew Hintz氏は昨日、同社がこの欠陥を修正し、ツールをバージョン1.4にアップグレードしたと発表した。 「すぐに更新するには、chrome:// extensions /にアクセスし、デベロッパーモードを有効にして、今すぐ拡張機能をクリックしてください。」

しかし、ムーア氏はウェブサイトに、バージョン1.4も同様に短いが、かなり単純なコードでバイパスされたと語った。

「私たちは正方形に戻っている」と彼は電子メールで語った。

言い換えれば、今後Googleが別のアップデートを発行することを期待します。

ムーア氏は、フィッシング詐欺への意識を高めるためのGoogleの取り組みを賞賛しているが、パスワードアラートはまだまだ準備が整っていないと指摘し、ユーザーに誤ったセキュリティ感覚を与えるリスクを導入する可能性がある。

「私はすべて意識を高めるためだが、ユーザーは自然にこの延長がリスクを緩和し、それを再考することはないと考えている。原則的には素晴らしいアイデアだが、現在の状態では、信頼できる製品 “とムーア氏は語る。

この拡張機能は、Chromeウェブストアから約28,000人のユーザーによってインストールされているという。

バイパスにもかかわらず、ウェブスパムチームのMatt CuttsのGoogleの頭は、価値ある努力として製品を守ってきた。 「世界中のすべてのフィッシャーがキャッチアップ/反撃をしなければならない世界は、今日よりも優れた世界です」

GoogleはまだWindows XP上でChromeのサポートを拡張しているが、GoogleはChrome拡張機能を導入してアカウントのフィッシングを阻止し、GoogleはChromeバグバウンティの報酬を$ 15000

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

Chromeのセキュリティ

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン