Hace tan solo dos días hablamos de la nueva extensión de Google para su navegador web Chrome que trata de proteger a sus usuarios contra las amenazas de phising. Desde su lanzamiento, Paul Moore encontró graves vulnerabilidades. Después, Google actualizó y se volvió a hackear el sistema de alertas. Y tras haber aportado hasta dos actualizaciones más, Google sigue dejando al descubierto a los usuarios de esta reciente extensión.
Desde la primera versión, lanzada la semana pasada, investigadores en materia de seguridad informática fueron capaces de vulnerar el sistema de alertas contra amenazas de phishing recién lanzado por Google. Con la versión 1.4 de esta extensión, la compañía de Mountain View aseguró haber solucionado estos problemas, que una vez más fueron puestos a prueba por Paul Moore resultando en vulnerabilidades del mismo tipo. Pero Google ha vuelto a actualizar, y con el lanzamiento de la versión 1.5 ha ocurrido lo mismo, nuevos agujeros de seguridad.
Google Password Alert 1.6 bypass proof of concept from Securify BV on Vimeo.
¿Parece poco? Pues Google no levanta cabeza con este software, que ha sido nuevamente actualizado a la versión 1.6 y, aún, varios investigadores dedicados a la seguridad informática han encontrado sus propias formas de saltarse el sistema de alertas ofrecido por Google. De hecho, podemos ver todo tipo de demostraciones por la red, y aún en el momento de redacción de este artículo, Google mantiene desprotegidos a los usuarios de este software.
Cada vez más usuarios, y aún igual de vulnerables al phishing
Esta extensión ha tenido una adopción sorprendente, con una tasa de instalaciones realmente alta el software sigue sin cumplir con su función. Por suerte para los usuarios, no obstante, las amenazas de phishing pueden seguir siendo sorteadas gracias a otros sistemas, como es el caso de la autentificación de usuario en dos pasos. De esta forma, gracias a nuestro dispositivo móvil, podremos evitar el robo de nuestros datos personales. Ahora bien, más nos vale no abandonar nuestra suerte únicamente a la nueva extensión de Google, al menos de momento.