افزونه ی Chrome Password Alert extensionبه عنوان مدافعی برای کاربران در مقابل حملات فیشینگ است که علی رغم یک دهه تحقیقات و بررسی و البته هشدارها در خصوص روش کار این حملات همچنان یکی از جدی ترین تهدیدات برای کاربران به شمار می رود. در اینجا چگونگی کار این افزونه برای حساب های کاربری شرح داده می شود. DrewHintzو JustinKosslyn دو تن از کارشناسان امنیتی گوگل در خصوص این افزونه اینگونه نوشته اند: با نصب و فعالسازی Password Alertدر مرورگر کروم، این مرورگر یک نمونه ی بهم ریخته از Google Account password شما را به خاطر می سپارد. و این اطلاعات را تنها برای اهداف امنیتی به یاد می آورد و آن را در اختیار کسی قرار نمی دهد. اگر شما رمزتان را در وب سایتی غیر از وب سایت این شرکت وارد کنید، Password Alert پیغام یا هشدار زیر را به شما نشان خواهد داد.

این هشدار به شما خواهد گفت که در معرض خطر فیشینگ قرار دارید بنابراین می توانید رمز خود را به روز رسانی کنید(تغئیر دهید) و از خود در برابر این خطر محافظت نمائید.

درست یک روز پس از انتشار این افزونه، یک مشاور امنیتی با نام Paul Moore روشی را برای دور زدن این افزونه پیدا کرد. این روش که با کمک جاوا اسکریپت انجام می پذیرد، صفحه ی هشدار گوگل را طبق گزارشی که روی پورتال ArsTechnica منتشر گردیده است، مسدود می کند و کاربر دیگر هشداری دریافت نمی کند. پاول مور در مورد ایمیلی در همین مورد بیان کرد که دور زدن یا مسدود سازی این افزونه تنها دو دقیقه طول می کشد که البته گوگل نیز بالافاصله اقدام به رفع این ضعف کرد. با این حال، پاول مور این کارشناس امنیتی سمج، اقدام به بررسی مجدد و دقیقتر این افزونه و البته خود کروم کرد و موفق به یافتن یک روش دیگر شد. وی بیان کرد احتمال اصلاح و برطرف سازی این یکی برای گوگل سخت تر خواهد بود. او اظهار کرد اصلاح افزونه برای ممانعت از روش دوم غیر فعالسازی یا ردشدن، شاید غیرممکن نباشد اما بسیار دشوار خواهد بود چرا که این روش مبتنی بر افزونه نبوده و با توجه به تغئیراتی که در کروم ایجاد می شود اینمورد، قابل اصلاح از طریق بروز رسانی افزونه نمی باشد.این افزونه کلمه ی عبور را شناسائی و آن را با نوع هش شده ، مقایسه می کند. زمانی که شما رمز صحیح را وارد کنید، Password Alert با دادن یک هشدار به کاربر توصیه می کندرمز خود را تغئیر دهد. مور بیان کرد در نسخه ی جدید، این هشدار در DOM مدیریت می شد که آسیپ پذیری اش بدیهی است زیرا افزونه و کد مبدا مشترکی دارند. در نسخه ی جدید، پنجره ی هشدار با خود UA مدیریت میشود زیرا دیگر در همان مبدا نیست، جاوا اسکریپت نمی تواند صفحه ی هشدار را تغئیر دهد یا پنهان کند. با این حال، می توانیم با وارد کردن UA به این تصور که کاربر رمز خود را وارد نکرده است، UA را فریب دهیم. مور با انجام این کار می تواند مانع شود Password Alert کل رمز را ببیند. مور اظهار کرد با عوض کردن هر صفحه بعد از فشار هر کلید، UA و مدیریت کنندگان پیامد به آن session پیوست می شوند و هرگز نمی توانند کل رمز را ببینند، بنابراین هشدار هرگز ازبین نمی رود.

بنابراین به جای:

“CorrectHorseBatteryStaple”->/login.html->valid hash->warning window

UA می بیند:

“C” ->/login.html->invalid hash

“o”->/login.html->invalid hash

“r”->/login.html->invalid hash

و غیره. تنها هشدار به عنوان نمونه در جائی است که کاربر رمز را بسیار آهسته وارد می کند که افزونه آن را در حد انتظار کنترل (مدیریت) می کند.

پاول اظهار کرد که یافتن این روش برای وی تنها 20 دقیقه به طول انجامیده و مطمئن نیست که روش بهتری برای رفع این مشکل وجود داشته باشد.وی گفت:صادقانه بگویم بدون شناسائی مسائل بسیار جدی تر دیگر، نمی توانم به دنبال روشی برای انجام این کار باشم.مور بیان کرد، یک احتمال، نگه داشتن ورودی ها در تب ها و پنجره های متعدد است، که شک دارم با افزونه ها یا تب های جدا از یکدیگر این امر امکان پذیر باشد. مقامات رسمی گوگل می گویند برای محققان امری عادی است که به دنبال روش هائی برای فرار از محافظت های جدید باشند و شرکت هر گونه اصلاحی که مناسب باشد را انجام خواهد داد.