De Chrome-extensie Password Alert werd vorige week door het bedrijf uitgebracht. Met Password Alert kun je zien wanneer je je wachtwoord op een phishing-website invult. Google Chrome controleert daarbij de hash van het wachtwoord.

Java

Een stel ethische hackers heeft de beveiliging daarvan echter al gekraakt. Door een stukje Javascript of zelfs html aan te passen aan de broncode van de extensie, kan Google makkelijk om de tuin worden geleid. De extensie denkt daarbij dat het gaat om een echte Google-website.

#Google #PasswordAlert bypassed, new #POC CC @Paul_Reviews @dangoodin001 @jleyden @gcluley @troyhunt @EduardKovacs pic.twitter.com/PrWnFxG1H5

— Securify (@securifybv) May 1, 2015

Via html

Eén van de hackers die het probleem ontdekten was Mischa van Geelen, die onlangs ook al met PCM aantoonde dat het 'WiFi in de trein' een goudmijn aan persoonlijke informatie bleek. Van Geelen merkte onder andere op hoe de extensie via html te omzeilen is.