Forestil der er en for tiden udnyttes fejl i Google. Godt, Sandheden er, at du ikke behøver at forestille mig det, fordi det allerede er der! Britiske sikkerhed forsker Aidan Woods bare oplyses et problem findes på Googles login-side. Dette problem gør det muligt for angriberne automatisk at downloade filer på brugerens computer. Det eneste de skal gøre er at trykke på knappen Log på, og voila! Ifølge forsker, Google er blevet underrettet om problemet, men har endnu ikke gjort noget for at afbøde det. På grund af Googles svar om ikke at behandle problemet som en fejl, forskeren besluttede at offentliggøre det, i håb om, at virksomheden vil træffe foranstaltninger.
Googles defekte login -sider forklaret
Funktionen af login indsendelseshandlingen kan blive forgiftet, såsom:
- Et vilkårligt trin tilføjes til slutningen af loginproceduren (f.eks. en “adgangskode forkert, Prøv igen” side, som stjæler legitimationsoplysninger, når brugeren indtaster dem igen)
- En vilkårlig fil sendes til brugerens browser hver gang loginformularen indsendes, uden at aflæse login -siden
- etc… vektorer kun begrænset af bredden af Google -tjenester, der kan misbruges under dække af et login -trin
Sårbarheden afbildet
Googles login -side accepterer en sårbar GET -parameter, forskeren skriver. Den defekte parameter gennemgår en grundlæggende kontrol:
→Skal pege på *.google.com/ *
Applikationen undlader også at godkende den angivne Google -tjeneste. Hvad betyder det? Enhver Google -service kan indsættes i slutningen af loginprocessen, lignende:
- Åbn omdirigeringer (Vælg en)
- Tilfældig filoverførsel(Google Drev)
Til sidst, ondsindede aktører kunne hoste malware på Google Drev/ Google Docs. drive.google.com, docs.google.com kunne videregives som gyldige "fortsæt" -parametre inden for login -URL'en. Derefter, angriberen ville kunne uploade malware til deres Google Drive eller Google Docs -konto, og skjul det inden for det officielle Google -login.
Derefter, disse links kunne sendes ud til brugere, der ville åbne dem og tro, at de er legitime Google -login -webadresser. Når siden er åbnet, er der logget ind, ondsindede filer kan kun downloades til offerets system ved at trykke på knappen Log på.
Hvad gjorde Google Sige?
Tak for din fejlrapport og undersøgelse for at beskytte vores brugere! Vi har undersøgt din indsendelse og taget beslutningen om ikke at spore den som en sikkerhedsfejl. Denne rapport vil desværre ikke blive accepteret til vores VRP. Kun første rapporter om tekniske sikkerhedsrisici, der i væsentlig grad påvirker fortroligheden eller integriteten af vores brugere’ data er omfattet, og vi føler, at det problem, du nævnte, ikke opfylder den bar :(
Hvad synes du? Fortjener problemet Googles opmærksomhed?
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: