Qué es Google Password Alert y como saltearlo

Para la lucha contra el phising Google ha lanzado Password Alert, una extensión para Chrome que (supuestamente) permite detectar ataques de phising. Esta extensión (supuestamente) protege las cuentas de Google y Google Apps for Work, mostrando una advertencia si la contraseña es escrita en un sitio que no es parte Google.


La idea, dice la compañía no sólo es proteger a los usuarios de los ataques de Phishing, sino animarles "a usar diferentes contraseñas para los diversos sitios, una buena práctica de seguridad". La propuesta de Google, por cierto, solicita al usuario contraseñas de más de ocho caracteres.

Esta extensión ya ha sido salteada y ha recibido su primera actualización de seguridad crítica en menos de 24 horas. El consultor Paul Moore creo un simple exploit que permite saltear la "protección". Para demostrarlo, creó una página que se parece mucho a la página de acceso a Google e insertó el siguiente código en él:


El código busca el etiqueta warning_banner y simplemente la quita. La acción se repite cada 5 milisegundos, eliminando de forma eficaz la ventana de advertencia.

"La sugerencia de que esta extensión ofrece algún tipo de protección real dá risa", comentó Moore, y aconsejó a Google a empujar a los usuarios optar por gestores de contraseña.

Luego de publicado el primer exploit, Moore lo hizo de nuevo, pero esta vez el código actualiza la página del navegador después de introducido cada carácter de la contraseña, evitando la activación de la alerta.

Comentarios