Imaginez il y a un bug actuellement exploitable dans Google. Bien, la vérité est que vous ne devez pas l'imaginer, car il est déjà là! chercheur en sécurité britannique Aidan Woods juste décrit un problème trouvé sur la page de connexion Google. Cette question permet des attaquants afin de télécharger automatiquement des fichiers sur l'ordinateur de l'utilisateur. Tout ce qu'ils doivent faire est appuyez sur le bouton Ouvrir une session, et voila! Selon le chercheur, Google a été informé de la question, mais n'a rien fait jusqu'à présent pour atténuer. En raison de la réponse de Google de ne pas traiter la question comme un bug, le chercheur a décidé de le rendre public, dans l'espoir que la société prendra des mesures.
Connexion défectueux Pages de Google expliquée
La fonctionnalité de la connexion soumettre action peut être empoisonné, comme:
- Une étape arbitraire est ajoutée à la fin de la procédure de connexion (e.g. une “mot de passe incorrect, Veuillez réessayer” page, qui vole les informations d'identification sur l'utilisateur ré-entrer les)
- Un fichier arbitraire est envoyé au navigateur de l'utilisateur à chaque fois que le formulaire de connexion est soumis, sans décharger la page de connexion
- Etc… vecteurs seulement limité par l'étendue des services Google qui pourrait être utilisé à mauvais escient, sous le couvert d'une étape de connexion
La vulnérabilité Représenté
connexion la page de Google accepte un paramètre GET vulnérables, le chercheur écrit. Le paramètre défectueux passe par une vérification de base:
→Doit pointer vers * .google.com / *
L'application échoue également pour authentifier le service Google spécifié. Qu'est-ce que cela signifie? Tout service Google peut être inséré à la fin du processus de connexion, comme:
- redirections ouvertes (choisir un)
- Arbitraire File Upload(Google Drive)
Finalement, acteurs malveillants pourraient héberger des logiciels malveillants sur Google Drive / Google Docs. drive.google.com, docs.google.com pourrait être adopté comme valide "continuer" paramètres au sein de l'URL de connexion. Puis, l'attaquant serait en mesure de télécharger des logiciels malveillants sur leur compte Google Drive ou Google Docs, et le cacher dans le connexion officiel de Google.
Puis, ces liens pourraient être envoyés aux utilisateurs qui les ouvrir croire qu'ils sont légitimes connexion URL Google. Une fois que la page est accessible un connecté, fichiers malveillants peuvent être téléchargés sur le système de la victime en appuyant simplement sur le bouton Ouvrir une session.
Qu'est-ce que Google Dire?
Merci pour votre rapport de bug et de la recherche pour garder nos utilisateurs sécurisé! Nous avons examiné votre demande et pris la décision de ne pas le suivre comme un bogue de sécurité. Ce rapport ne sera malheureusement pas accepté pour notre VRP. Seuls les premiers rapports de vulnérabilités techniques de sécurité qui affectent considérablement la confidentialité ou l'intégrité de nos utilisateurs’ les données sont dans la portée, et nous pensons que le problème que vous avez mentionné ne répond pas à cette barre :(
Qu'est-ce que tu penses? Le problème mérite-t-il l'attention de Google?
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: