Immaginate che ci sia un bug attualmente sfruttabili in Google. Bene, verità è che non c'è bisogno di immaginare, perché è già lì! Britannico ricercatore di sicurezza Aidan Woods appena rivelato un problema rilevato sulla pagina di login di Google. Questo problema permette agli aggressori di scaricare automaticamente i file sul computer dell'utente. Tutto quello che dovete fare è premere il pulsante Accedi, e voilà! Secondo ricercatore, Google è stata informata del problema, ma non ha fatto nulla finora per mitigare. A causa della risposta di Google non trattare il problema come un bug, il ricercatore ha deciso di renderlo pubblico, nella speranza che la società prenderà provvedimenti.
Difettoso Login pagine di Google ha spiegato
La funzionalità del login presentare azione può essere avvelenato, come:
- Un passo arbitrario viene aggiunto alla fine della procedura di accesso (e.g. un “password non corretta, Riprova” pagina, che ruba credenziali sull'utilizzatore re-immetterli)
- Un file arbitrario viene inviato al browser dell'utente ogni volta che viene inviato il form di login, senza scaricare la pagina di login
- Eccetera… vettori limitate solo dalla vastità dei servizi di Google che potrebbero essere abusato con il pretesto di una fase di login
La vulnerabilità Raffigurato
pagina di login di Google accetta un parametro GET vulnerabili, il ricercatore scrive. Il parametro errato passa attraverso un controllo di base:
→Deve puntare a * .google.com / *
L'applicazione non riesce anche per autenticare il servizio di Google specificato. Che cosa significa questo? Qualsiasi servizio Google può essere inserito alla fine del processo di login, come:
- reindirizzamenti aperti (sceglierne uno)
- Arbitrary File Upload(Google Drive)
Infine, attori malintenzionato potrebbe ospitare malware sul Google Drive / Google Documenti. drive.google.com, docs.google.com potrebbe essere passato come valido “continua” parametri all'interno dell'URL di login. Poi, l'attaccante sarebbe in grado di caricare il malware al proprio account Google Drive o Google Docs, e nascondere all'interno del login ufficiale di Google.
Poi, questi collegamenti potrebbero essere inviati agli utenti che avrebbero aperto loro credere di essere legittimi URL d'accesso di Google. Una volta che si accede alla pagina di login, file dannosi possono essere scaricati sul sistema della vittima solo premendo il pulsante Accedi.
Che cosa ha fatto Google Dire?
Grazie per la segnalazione e la ricerca per mantenere i nostri utenti sicuro! Abbiamo studiato la vostra presentazione e preso la decisione di non tenere traccia di esso come un bug di sicurezza. Questa relazione non sarà, purtroppo, essere accettato per il nostro VRP. Solo i primi rapporti di vulnerabilità tecniche di sicurezza che influiscono sostanzialmente sulla riservatezza e l'integrità dei nostri utenti’ dati sono portata, e sentiamo il problema che lei ha citato non soddisfa quel bar :(
Cosa ne pensi? Il problema si merita l'attenzione di Google?
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: