O plugin Alerta de Senhas anunciado pelo Google na última quarta-feira já teve a segurança quebrada duas vezes por um mesmo hacker. O responsável pelo feito foi o pesquisador Paul Moore, que conseguiu burlar o sistema de proteção de phishing pela primeira vez menos de 24 horas depois do lançamento da extensão – e novamente não muito tempo depois.

A primeira quebra de segurança aconteceu logo na quinta-feira, e o procedimento não era nada complexo. Segundo o relato do Ars Technica, Moore usou uma página falsa “equipada” com um script em JS, que rodava a cada 5 milissegundos para detectar e bloquear os alertas emitidos pelo plugin do Google. A brecha foi corrigida poucas horas após a divulgação, na versão 1.4 do add-on, mas ainda dá para ver como ela funciona pelo vídeo abaixo.

Já a vulnerabilidade mais nova consiste em um código de apenas três linhas, segundo o mesmo site. Ele faz com que o endereço falsificado atualize a cada vez que um dígito da senha é colocado – o que “faz com que o navegador se comporte como se apenas um caractere tivesse sido digitado”, de acordo com a reportagem.

O exploit não é tão preciso quanto o anterior, e não funciona caso a vítima de phishing digite a senha muito devagar, por exemplo. É de se imaginar que a falha seja corrigida em breve pelo Google, mas a busca por brechas no Alerta de Senhas não deve parar tão cedo.

Por isso, mesmo que você tenha instalado o plugin, vale ficar atento às páginas nas quais você digita seus dados. Checar a URL é primordial. E seguir algumas dessas dicas aqui – que não valem apenas para as redes sociais – também.

Fonte: Ars Technica (1) e (2)