Обнаружена уязвимость на странице авторизации Google


GoogleИсследователем безопасности была обнаружена уязвимость на странице авторизации Google, позволяющая злоумышленникам загружать файлы на компьютер пользователя, когда тот нажимает на кнопку "Войти".

Проблема связана с тем, что Google принимает continue=[link] в качестве параметра URL-адреса страницы авторизации, указывающего серверу Google, куда перенаправить пользователя после прохождения аутентификации. В компании предусмотрели возможные риски, связанные с данным  параметром, поэтому ограничили его использование только доменами google.com, использующими

  • *.google.com/*,

где * - символ подстановки.

Это значит, что ссылки drive.google.com и docs.google.com могут считаться действительными параметрами continue URL-адреса.

Эксперт заверил, что злоумышленник может загрузить вредоносное ПО в свою учетную запись на Google Drive или Google Docs, а также спрятать URL в ссылке на официальную страницу авторизации Google. Пользователи, получившие фишинговое письмо с такой ссылкой, будут уверены, будто она ведет на легитимную страницу. По завершении процесса авторизации на компьютер жертвы без ее ведома будет загружено вредоносное ПО.

Поисковый гигант был уведомлен о проблеме, однако эксперт так и не получил от компании никакого ответа.


Обновлено (30.08.2016 20:37)