Un fallo de seguridad permite omitir la alerta que protege contraseñas de Google
Hace tan solo unosdías, la compañía de Mountain View publicaba una extensión que alerta de amenazas de phishing que pueden comprometer la seguridad de las contraseñas. Este sistema de seguridad añadido, sin embargo, presenta una vulnerabilidad que permite omitirlo de forma sencilla, tal y como ha demostrado un investigador.
Dicen que los productos necesitan un tiempo de rodaje, que no es recomendable comprarlos nada más salir. ¿Por qué? Porque a veces es conveniente esperar a que descubran los primeros fallos y, como consecuencia, sus soluciones. Tiene todo el sentido del mundo, y en esta ocasión encaja con lo que le ha ocurrido a Google. Tras sólo unos días desde su lanzamiento, la nueva extensión contra amenazas de phishing deja las contraseñas de Google con la misma protección que si no la utilizásemos.
Con siete líneas de código, Paul Moore ha sido capaz de anular las alertas contra amenazas de phishing de Google. Según describe, es un problema en JavaScript que no cancela las alertas de phishing, que siguen generándose, sino que una vez producidas las elimina en sólo unos instantes anulando su cometido. Google, por su parte, asegura que la versión 1.4 soluciona el problema, pero Paul Moore aclara que el problema continúa.
Es mejor protegerse de otra forma contra el phishing
De momento son más de 30.000 los usuarios de Google Chrome que están utilizando la solución vulnerable de la compañía de Mountain View, y que por lo tanto se exponen a utilizar un sistema de seguridad añadido que no cumple con su función al completo. No obstante, Google ofrece alternativas contra el phishing con la autenticación en dos pasos. Además, siempre es recomendable