Stellen Sie sich vor zum gegenwärtigen Zeitpunkt ein ausnutzbaren Fehler in Google. Gut, Wahrheit ist, dass Sie sich vorstellen, müssen es nicht, weil es schon da ist! Britische Sicherheitsforscher Aidan Woods offenbart nur ein Problem auf den Google-Login-Seite gefunden. Dieses Problem ermöglicht es Angreifern, Dateien automatisch herunterladen auf dem Computer des Benutzers. Alles, was sie tun müssen, ist auf die Schaltfläche Anmelden drücken, und voila! Entsprechend der Forscher, Google wurde der Fehler benachrichtigt hat aber nichts bisher getan zu mildern. Aufgrund der Google-Antwort das Problem nicht als Fehler zu behandeln, die Forscher beschlossen, es öffentlich machen, in der Hoffnung, dass das Unternehmen Maßnahmen ergreifen,.
Googles Fehlerhafte Anmeldung Seiten erklärt
Die Funktionalität der Login Aktion einreichen können vergiftet werden, sowie:
- Ein beliebiger Schritt wird am Ende des Anmeldeverfahrens angefügt (z.B.. ein “Falsches Passwort, bitte versuche es erneut” Seite, die stiehlt Zugangsdaten auf den Benutzer Wiedereintritt in sie)
- Eine beliebige Datei wird an den Browser des Benutzers gesendet wird jedes Mal, wenn der Login-Formular eingereicht, ohne die Login-Seite Entladen
- Etc… Vektoren nur durch die Breite der Google-Dienste beschränkt, die unter dem Deckmantel eines Login Schritt missbraucht werden könnten
Die Vulnerability Abgebildet
Google-Login-Seite akzeptiert einen verwundbar GET-Parameter, der Forscher schreibt. Der fehlerhafte Parameter geht durch eine grundlegende Überprüfung:
→Punkt muss auf * .google.com / *
Die Anwendung schlägt fehl, auch den Google-Dienst zu authentifizieren angegeben. Was bedeutet das? Alle Google-Service befinden sich am Ende des Anmeldeprozesses eingesetzt werden, wie:
- Öffnen Sie Redirects (wähle eins)
- Willkürliche Datei-Upload(Google Drive)
Schließlich, böswillige Akteure könnten Malware auf Google Drive Host / Google Text & Tabellen. drive.google.com, docs.google.com könnte als gültig übergeben werden "weiter" Parameter innerhalb der Login-URL. Dann, Der Angreifer wäre in der Lage Malware auf ihre Google Drive oder Google Docs Konto hochladen, und verbergen sie innerhalb der offiziellen Google-Login.
Dann, Diese Links könnten verschickt an Benutzer, der sie öffnen würden sie sind legitime Google Login-URLs zu glauben,. Sobald die Seite zugegriffen wird ein angemeldet, schädliche Dateien können nur auf die Opfer des Systems heruntergeladen werden, indem man auf die Schaltfläche Anmelden drücken.
What Did Google Sagen?
Vielen Dank für Ihre Fehlerbericht und Forschung zu halten unsere Nutzer sicher! Wir haben Ihre Vorlage untersucht und die Entscheidung getroffen, nicht als Sicherheitsfehler zu verfolgen. Dieser Bericht wird leider nicht für unser VRP akzeptiert. Nur erste Meldungen über technische Sicherheitslücken, die die Vertraulichkeit oder Integrität unserer Nutzer erheblich beeinträchtigen’ Daten sind im Umfang, und wir sind der Meinung, dass das von Ihnen erwähnte Problem nicht dieser Messlatte entspricht :(
Was denken Sie? Verdient das Problem die Aufmerksamkeit von Google??
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: