Антифишинговая защита Google Chrome не продержалась и суток

Корпорация Google представила на минувшей неделе новое средство защиты пользователей – плагин Password Alert для браузера Chrome. Он задуман как инструмент борьбы с фишинговыми атаками, предотвращению которых в Google уделяют очень много внимания. Эта обеспокоенность понятна: согласно данным совместного исследования специалистов Google и Университета штата Калифорния в Сан-Диего, наиболее искусно сфабрикованные фишинговые страницы способны ввести в заблуждение почти половину всех пользователей.

Плагин Password Alert предусматривает защиту от такого рода атак. При переходе на фишинговую страницу, выдающую себя за одну из страниц Google (на все прочие сервисы действие инструмента не распространяется – во всяком случае, пока), он выдает на экран предупреждение об опасности и призывает пользователя не вводить имя своей учетной записи и пароль во избежание неприятностей. Проблема, однако, в том, что плагин пока не слишком совершенен. Исследователю Полу Муру потребовалось менее суток, чтобы найти и проэксплуатировать уязвимость Password Alert. Причем для этого он всего лишь добавил 7 строк кода JavaScript к специально созданной им фишинговой странице. В результате нехитрый инструмент Пола Мура каждые 5 миллисекунд отслеживал любую активность – и удалял появляющиеся предупреждения прежде, чем пользователь мог их увидеть.

Мур известил разработчиков о проблеме, и специалисты Google весьма оперативно устранили ее. Однако буквально в тот же день и сам Мур, и некоторые его коллеги обнаружили и другие пути обхода Password Alert. По мнению исследователей, сам инструмент является нужным и полезным, но пока еще явно «сырым». А потому полагаться на него как на надежное средство защиты от фишинга явно не стоит.