Stel je voor er is een moment exploiteerbare bug in Google. Goed, waarheid is dat je niet hoeft voor te stellen, want het is er al! Britse security-onderzoeker Aidan Woods net onthuld een probleem te vinden op Google's inlogpagina. Door dit probleem kunnen aanvallers automatisch bestanden downloaden op de computer van de gebruiker. Het enige wat ze hoeven te doen is op de knop Aanmelden te drukken, en voila! Volgens de onderzoeker, Google is op de hoogte gesteld van het probleem, maar heeft tot nu toe niets gedaan om dit te verhelpen. Vanwege de reactie van Google om het probleem niet als een bug te behandelen, de onderzoeker besloot het openbaar te maken, in de hoop dat het bedrijf maatregelen zal nemen.
Defecte inlogpagina's van Google uitgelegd
De functionaliteit van de actie voor het indienen van aanmelding kan worden vergiftigd, zoals:
- Er wordt een willekeurige stap toegevoegd aan het einde van de inlogprocedure (b.v.. een “fout wachtwoord, probeer het alstublieft nog een keer” pagina, die inloggegevens steelt wanneer de gebruiker ze opnieuw invoert)
- Elke keer dat het aanmeldingsformulier wordt verzonden, wordt er een willekeurig bestand naar de browser van de gebruiker verzonden, zonder de inlogpagina te verwijderen
- Enz… vectoren die alleen worden beperkt door de breedte van Google-services die kunnen worden misbruikt onder het mom van een inlogstap
De afgebeelde kwetsbaarheid
De inlogpagina van Google accepteert een kwetsbare GET-parameter, de onderzoeker schrijft. De defecte parameter doorloopt een basiscontrole:
→Moet verwijzen naar *.google.com/*
De applicatie kan de gespecificeerde Google-service ook niet verifiëren. Wat betekent dit? Elke Google-service kan aan het einde van het inlogproces worden ingevoegd, zoals:
- Omleidingen openen (kies er een)
- Willekeurige bestandsupload(Google Drive)
tenslotte, kwaadwillende actoren kunnen malware hosten op Google Drive/Google Docs. drive.google.com, docs.google.com kan worden doorgegeven als geldige "doorgaan" -parameters binnen de inlog-URL. Dan, de aanvaller zou malware kunnen uploaden naar zijn Google Drive- of Google Docs-account, en verberg het in de officiële Google-login.
Dan, deze links kunnen worden verzonden naar gebruikers die ze zouden openen in de veronderstelling dat het legitieme Google-inlog-URL's zijn. Zodra de pagina is geopend en ingelogd, schadelijke bestanden kunnen alleen naar het systeem van het slachtoffer worden gedownload door op de knop Aanmelden te drukken.
Wat deed Google Zeg?
Bedankt voor je bugrapport en onderzoek om onze gebruikers veilig te houden! We hebben uw inzending onderzocht en hebben besloten deze niet te volgen als een beveiligingsbug. Dit rapport wordt helaas niet geaccepteerd voor onze VRP. Alleen eerste meldingen van technische beveiligingsproblemen die de vertrouwelijkheid of integriteit van onze gebruikers aanzienlijk aantasten’ gegevens vallen binnen het bereik, en we zijn van mening dat het probleem dat u noemde niet aan die lat voldoet :(
Wat denk je? Verdient het probleem de aandacht van Google??
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: