Anti-Phishing-Erweiterung für Chrome mehrfach unterwandert
Eigentlich soll das Chrome-Plug-in Passwort-Warnung Alarm schlagen, wenn Nutzer ihre Log-in-Daten auf Phishing-Webseiten eingeben. Mittlerweile wurde die Funktion aber schon zum wiederholten Male ausgehebelt.
Google und der Sicherheitsforscher Paul Moore liefern sich aktuell ein Ping-Pong-Spiel um die Anti-Phishing-Erweiterung Passwort-Warnung für Chrome. Dabei habe Moore das Plug-in vergangene Woche bereits ein Tag nach dem Erscheinen mit nur sieben Codezeilen überlistet.
Google lieferte zwar prompt eine gepatchte Version nach, doch auch diese unterwanderte Moore prompt. Google holte mit der Version 1.6 erneut zum Konter aus, doch Moore konnte diesen erneut mit einem Hinweis auf einen weiteren Exploit entkräften.
Im Prinzip soll die Erweiterung davor warnen, wenn Nutzer ihre Log-in-Daten auf gefälschten Google-Webseiten eingeben. Aktuell ist Moore zufolge noch die anfällige Version 1.6 im Chrome WebStore verfügbar. (des)
