Zuhause > Cyber ​​Aktuelles > Bug in Google Login Pages Can Cause Malware Download
CYBER NEWS

Bug in Google Login-Seiten können Malware herunterladen Ursache

Verwundbarkeit-stforum

Stellen Sie sich vor zum gegenwärtigen Zeitpunkt ein ausnutzbaren Fehler in Google. Gut, Wahrheit ist, dass Sie sich vorstellen, müssen es nicht, weil es schon da ist! Britische Sicherheitsforscher Aidan Woods offenbart nur ein Problem auf den Google-Login-Seite gefunden. Dieses Problem ermöglicht es Angreifern, Dateien automatisch herunterladen auf dem Computer des Benutzers. Alles, was sie tun müssen, ist auf die Schaltfläche Anmelden drücken, und voila! Entsprechend der Forscher, Google wurde der Fehler benachrichtigt hat aber nichts bisher getan zu mildern. Aufgrund der Google-Antwort das Problem nicht als Fehler zu behandeln, die Forscher beschlossen, es öffentlich machen, in der Hoffnung, dass das Unternehmen Maßnahmen ergreifen,.


Googles Fehlerhafte Anmeldung Seiten erklärt

Die Funktionalität der Login Aktion einreichen können vergiftet werden, sowie:

  • Ein beliebiger Schritt wird am Ende des Anmeldeverfahrens angefügt (z.B.. ein “Falsches Passwort, bitte versuche es erneut” Seite, die stiehlt Zugangsdaten auf den Benutzer Wiedereintritt in sie)
  • Eine beliebige Datei wird an den Browser des Benutzers gesendet wird jedes Mal, wenn der Login-Formular eingereicht, ohne die Login-Seite Entladen
  • Etc… Vektoren nur durch die Breite der Google-Dienste beschränkt, die unter dem Deckmantel eines Login Schritt missbraucht werden könnten

Die Vulnerability Abgebildet

Google-Login-Seite akzeptiert einen verwundbar GET-Parameter, der Forscher schreibt. Der fehlerhafte Parameter geht durch eine grundlegende Überprüfung:

→Punkt muss auf * .google.com / *

Die Anwendung schlägt fehl, auch den Google-Dienst zu authentifizieren angegeben. Was bedeutet das? Alle Google-Service befinden sich am Ende des Anmeldeprozesses eingesetzt werden, wie:

  • Öffnen Sie Redirects (wähle eins)
  • Willkürliche Datei-Upload(Google Drive)

Schließlich, böswillige Akteure könnten Malware auf Google Drive Host / Google Text & Tabellen. drive.google.com, docs.google.com könnte als gültig übergeben werden "weiter" Parameter innerhalb der Login-URL. Dann, Der Angreifer wäre in der Lage Malware auf ihre Google Drive oder Google Docs Konto hochladen, und verbergen sie innerhalb der offiziellen Google-Login.

Dann, Diese Links könnten verschickt an Benutzer, der sie öffnen würden sie sind legitime Google Login-URLs zu glauben,. Sobald die Seite zugegriffen wird ein angemeldet, schädliche Dateien können nur auf die Opfer des Systems heruntergeladen werden, indem man auf die Schaltfläche Anmelden drücken.


What Did Google Sagen?

Vielen Dank für Ihre Fehlerbericht und Forschung zu halten unsere Nutzer sicher! Wir haben Ihre Vorlage untersucht und die Entscheidung getroffen, nicht als Sicherheitsfehler zu verfolgen. This report will unfortunately not be accepted for our VRP. Only first reports of technical security vulnerabilities that substantially affect the confidentiality or integrity of our usersdata are in scope, and we feel the issue you mentioned does not meet that bar :(

Was denken Sie? Does the issue deserve Google’s attention?

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...