• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Protege tu cuenta de Google con Password Alert

    Protege tu cuenta de Google con Password Alert Google ha publicado Password Alert , una extensión para el navegador Chrome, gratuita y de código abierto , que protege contra ataques de phishing las cuentas de ...

          
    1. #1
      Redactor Avatar de Pacman
      Registrado
      abr 2005
      Ubicación
      Silicon Valley
      Mensajes
      1.749

      Protege tu cuenta de Google con Password Alert

      Protege tu cuenta de Google con Password Alert


      Google ha publicado Password Alert, una extensión para el navegador Chrome, gratuita y de código abierto, que protege contra ataques de phishing las cuentas de Google y Google Apps for Work.

      El phishing es un ataque informático que utiliza ingeniera social para engañar al internautasuplantando la identidad de una web o servicio real, para conseguir información confidencial del usuario, personal y especialmente financiera.

      Google explica que es una trampa habitual y peligrosa ya que los ataques de phishing más eficaces pueden tener éxito el 45 por ciento de las veces, ya que casi el 2% de los mensajes a Gmail han sido diseñados para engañar a los usuarios para que ofrezcan sus contraseñas y varios servicios en Internet pueden enviar millones y millones de correos electrónicos de phishing cada día.

      De aquí la publicación de este Password Alert que una vez instalado mostrará una advertenciacuando escribas tu contraseña de Google en un sitio que no sea una página de acceso de Google. De esta forma, te protege de los ataques de phishing y te anima a usar diferentes contraseñas para los diversos sitios.


      Cuando instales e inicies Password Alert, Chrome recordará una versión “codificada” de la contraseña de tu cuenta de Google. Debes tener en cuenta que solo recuerda esta información para objetivos relacionados con la seguridad y que no la comparte con nadie. A continuación, si escribes tu contraseña en un sitio que no sea una página de acceso a Google, Password Alert te mostrará un aviso como el que puedes ver en la imagen anterior. Esta notificación te indicará que existe riesgo de que alguien pueda apoderarse de tus datos, para que actualices tu contraseña y te protejas.

      Descargar: Pasword Alert




      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Re: Protege tu cuenta de Google con Password Alert

      Hacker encuentra una manera sencilla para evitar Google Password Alert



      Menos de 24 horas después de que Google lanzará la nueva extensión Google password alert, un investigador de seguridad fue capaz de pasar por alto la función mediante un simple exploit mortal.

      El miércoles, el gigante buscador lanzó una nueva extensión para Chrome que alerta a sus usuarios cada vez que accidentalmente digiten su contraseña de Google en un sitio web de phishing cuidadosamente diseñado que apunte a secuestrar la cuenta de los usuarios.

      Sin embargo, el experto en seguridad Paul Moore pudo eludir fácilmente la tecnología utilizando sólo siete líneas de código simple en JavaScript que elimina las alertas de phishing tan pronto como empezaron a aparecer, derrotando la extensión de seguridad de Google.

      Google lanzó una nueva actualización de la extensión para que bloqueada el exploit de Moore. Sin embargo, Moore descubrió otra manera de bloquear la nueva versión de Password Alert.

      La primera prueba de concepto de Moore que realizó con el exploit se basó en un JavaScript que busca las instancias de advertencia cada cinco milisegundos y simplemente elimina cualquier elemento que detecte. Generalmente, la pantalla de advertencia sigue ahí, pero el exploit impidió al usuario verlo.

      Moore (Paul_Reviews) público ayer la prueba de concepto del exploit en JavaScript, explicando que la extensión de Google puede ser anulada por cualquier persona que utilice sólo siete líneas de código .


      Aquí viene lo bueno:

      Sin embargo, Google aseguró a sus usuarios que la compañía ha solucionado el problema, liberando una nueva versión, la 1.4. "Para actualizar rápidamente, van a Chrome: // extensiones /, permiten el modo programador, hagan clic en actualización de las extensiones ahora", dijo el ingeniero de Google a Drew Hintz.

      Pero Moore no paró ahí. Y comenzó a analizar el código de la extensión más de cerca y descubrió otra forma de eludir Password Alert, quitando eficazmente las alertas de phishing tan pronto como se generen.

      Esta vez no será tan simple, baby:

      Según Moore, ahora será más difícil para Google reparar el segundo exploit desarrollado por él.
      Moore también proporcionó un video de prueba de concepto en YouTube que muestra el ataque en acción.

      Puedes ver el video aquí:


      Ahora, veremos cuánto tiempo le tomará al gigante motor de búsquedas solucionar este problema en su extensión para Chrome.

      La tecnología acaba de ser lanzada por Google el día miércoles, así que usted puede esperar algunas fallas en su fase inicial. La extensión Password Alert ha sido instalada por casi 30.000 usuarios de Chrome, a quienes se le recomienda actualizar a la versión 1.4, la última versión disponible por el momento, para reparar la primera versión.

      Con el fin de resolver otro problema, tiene que esperar hasta que Google lance la próxima actualización. Hasta entonces, se aconseja Activar la autenticación de dos factores y usar un buen administrador de password para protegerse contra los ataques de phishing.

      Actualización: GOOGLE ALERT 1.6 también puede ser evitado.

      Después que Google lanzara la versión 1.6 de Password Alert que repara el segundo exploit de Paul Moore, los investigadores de seguridad de la firma Securify descubrieron una manera de eludir otra vez Password Alert de Google en su última versión.

      Los investigadores crearon un nuevo exploit que funciona en las versiones de Password Alert 1.5 y la versión 1.6, el cual se ejecuta en dos pasos:

      1. Desactiva Javascript: en HTML, el iFrame tiene el atributo sandbox que un atacante puede desactivar usando Javascript para un iframe en particular. En el siguiente ejemplo se desactivará completamente Password Alert. El PoC es bastante simple:

      <iframe src="phishing_page.htm" sandbox="allow-forms"></iframe>
      2. Jugando con los primeros 100.000 Bytes en blanco: Password Alert verifica una página web mirando los primeros 100.000 bytes HTML. Esto se puede evitar simplemente utilizando el siguiente JavaScript:

      asswordalert.looksLikeGooglePageTight_ = function() { var allHtml = document.documentElement.innerHTML.slice(0, 100000); }
      Y ¡ Boom!

      Última edición por @JoseAsuncion fecha: 03/05/15 a las 17:01:10
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.