Google cập nhật Password Alert một vài lỗi vẫn hoạt động

Lần thứ hai trong một tuần, Google đã cập nhật Password Alert extension của mình để giải quyết các vấn đề bypass màn hình cảnh báo khi người dùng nhập dữ liệu vào trang không phải của Google. Tuy nhiên, các nhà nghiên cứu phát hiện ra phương pháp bypass gần đây cho biết kĩ thuật này vẫn hoạt động trên phiên bản mới nhất.

Tuần trước Google tung ra Password Alert extension như một giải pháp bảo vệ người dùng Chrome trước những cuộc tấn công lừa đảo. Khi người dùng nhập thông tin tài khoản Google vào một trang không phải của Google, extension sẽ xuất hiện một cảnh báo cho người dùng biết vấn đề và đề xuất thay đổi mật khẩu. Chỉ trong vài giờ, nhà nghiên cứu Paul Moore đã tạo ra một kĩ thuật cho phép ông giấu toàn bộ cảnh báo từ extension này.

Google đã cập nhật để giải quyết lỗ hổng nhưng ngay sau đó Moore lại tìm thấy một cách khác, bằng cách làm mới lại trang mỗi lần người dùng ấn một phím khi nhập mật khẩu. “Trong phiên bản cũ, cảnh báo được xử lý trong DOM tồn tại lỗ hổng rõ ràng bởi vì extension và mã độc có chung nguồn gốc. Trong phiên bản mới, cửa sổ cảnh báo được xử lý bởi UA không giống cái cũ nên Javascript không thể ẩn đi được cảnh báo. Tuy nhiên, chúng tôi có thể lừa UA nghĩ rằng người dùng vẫn chưa nhập vào mật khẩu” – Moore cho biết.

Trong email của mình, Moore nói rằng kĩ thuật này vẫn hoạt động trên phiên bản 1.6 và vẫn còn một vài kĩ thuật bypass khác. Google phát biểu rằng công ty sẽ tiếp tục vá lỗ hổng và mong muốn các nhà nghiên cứu kiểm thử extension của mình.

threatpost