Недавно мы писали о том, что для противостояние фишинговым атакам компания Google представила для своего браузера Chrome расширение под названием Password Alert. Как оказалось, призванный повысить безопасность пользователей продукт сам представляет угрозу безопасности, поскольку предлагаемую им защиту легко можно обойти.
Предназначением Password Alert является предупреждение пользователя о том, что он вводит свой пароль Gmail на сайте, внешний вид которого может имитировать почтовый сервис Google. Расширение было представлено в прошлую среду, а уже в четверг специалист в области сетевой безопасности Пол Мур предложил метод, благодаря которому уведомления от расширения можно заблокировать.
Google заблокировала уязвимость в пятничном обновлении под номером 1.6, однако с тех пор исследователи сумели найти ещё несколько обходных путей. Всего в данный момент их насчитывается девять, последний эксплоит Мур разработал в понедельник. По его словам, Google закрыла пока только 3 из 9 уязвимости. По мнению Мура, пара из уязвимостей будут весьма сложны для устранения, если это вообще возможно.
Можно сделать вывод, что расширение защищает от простых фишинговых атак и не справляется со сложными, при этом давая пользователям ложное чувство защищённости.