این ابزار در مورد وب سایت های مشکوکی که برای سرقت اطلاعات کاربران طراحی می شوند هشدار می دهد. اما با دستکاری آن به راحتی می توان کاربران گوگل را به دردسر انداخت.
روز گذشته در آی تی اس ان خبری مبنی بر معرفی افزونه Password Alert منتشر کردیم که برای مقابله با حملات فیشینگ ارائه شده است اما چندی نگذشت که این افزونه مرورگر کروم خود قربانی همین نوع حملات شده و گوگل هنوز نتوانسته مشکل یادشده را برطرف کند.
تکنـــــــــــــــــازدانلود: پل مور مشاور امنیتی حوزه فناوری اطلاعات، ویدیویی را بر روی سایت یوتیوب آپلود کرده که نشان می دهد افزونه سیستم هشدار گوگل در مورد استفاده از کلمه عبور جدید با افزودن تنها هفت خط کدنویسی قابل دستکاری و خرابکاری است.
مور برای توصیف عملکرد خود صفحهای بسیار شبیه به صفحهی ورود به گوگل را ایجاد نمود، سپس کد زیر را به آن اضافه نمود:
بنا به توضیحات مور، کد فوق به جستوجوی warning_banner (پنجرهای که افزونهی Password Alert در صورت پیدا کردن یک وبگاه فیشینگ میسازد) پرداخته و در صورت یافتن، آن را حذف میکند.
این عمل هر ۵ میلیثانیه یکبار تکرار میشود، به این ترتیب پنجرهی هشدار مورد بحث را چنان با سرعتی از بین میبرد که کاربران هرگز متوجه وجود آن نمیشوند.
Password Alert افزونه رایگانی است که برای مرورگر کروم طراحی شده و از چهارشنبه در دسترس علاقمندان قرار گرفته است. این ابزار در مورد وب سایت های مشکوکی که برای سرقت اطلاعات کاربران طراحی می شوند هشدار می دهد. اما با دستکاری آن به راحتی می توان کاربران گوگل را به دردسر انداخت.
این نگرانی وجود دارد که بسیاری از کاربران حرفه ای خود با افزودن این هفت خط کدنویسی مشکلاتی را برای دیگر افراد به وجود آورند. گوگل بعد از اطلاع از این مشکل مدعی شده که آن را برطرف کرده است. اما کارشناسان امنیتی هنوز این مساله را تایید نکردهاند.