La semana pasada Google lanzó una extensión para su navegador
Google Chrome llamada Google Password Alert,
Esta extensión pretendía monitorizar lo que escribimos en las diferentes webs y notificarnos siempre que escribamos nuestros credenciales de Google en páginas no oficiales que puedan comprometer nuestros datos o, simplemente, si alguna de las webs es sospechosa de estar controlada por piratas informáticos o diseñada para realizar ataques de phishing.
En menos de 24 horas se pudo comprometer la eficacia de esta
extensión, obligando a Google a actualizarla 6 veces en poco más de una semana.
En el siguiente enlace os dejamos los principales fallos encontrados y
explotados en esta vulnerabilidad.
La extensión de Google “Password Alert” es fácil de evadir.
- Hace cuestión de horas Google publicaba una nueva versión de su herramienta en la plataforma GitHub. Al analizar el código hemos podido ver cómo la principal función de la extensión, que era el poder detectar y bloquear webs maliciosas o de phishing, ha quedado desactivada.
- Sin duda es un extraño movimiento por parte de Google. Ahora mismo esta extensión no sirve para prácticamente nada, ya que sólo controla el dónde escribimos nuestra contraseña, pero no avisa de posibles webs sospechosas ni de ataques phishing.
- Es posible que para una próxima actualización de Google Password Alert la compañía publique una nueva forma de detectar y bloquear estas webs e incluso que esta extensión pase a formar parte de forma nativa de su navegador Google Chrome.
- Si aún no lo hemos hecho podemos descargar Google Password Alert de forma gratuita desde la Chrome Store. Actualmente en la tienda de extensiones aún no aparece la versión 1.7, aunque aparecerá en las próximas horas.
- Con más de 70.000 descargar Google no va a abandonar el desarrollo de esta extensión de seguridad, sin embargo, por el momento no ha hecho ninguna declaración sobre si va a dar un nuevo enfoque al desarrollo, si se trata de un fallo o simplemente si de una vez por todas solucionará todos los fallos que los investigadores de seguridad han ido detectando y reportando en Google Password Alert.
