Támadásokat segíthet a Google bejelentkező oldala
A Google felhasználói bejelentkezésekre szolgáló felülete trükkös támadásokhoz vezethet. Ennek ellenére jelenleg még arról folyik a vita, hogy a hiba biztonsági résnek tekinthető-e.Aidan Woods biztonsági kutató az elmúlt időszakban alaposabban is szemügyre vette a Google azon weboldalát, amely a felhasználói bejelentkezéseket kezeli. A szakember a különféle paraméterek próbálgatásakor egy érdekességre lett figyelmes, amelyről azt gondolta, hogy különféle támadásokhoz is felhasználható lehet. Ennek igazolására többféle vizsgálatot végzett, amik során kockázatokat felvető módszereket dolgozott ki.
A rendellenesség a bejelentkező oldal által kezelt "continue" nevű paraméter kapcsán merült fel. Ez arra szolgál, hogy az azonosítást követően a felhasználó böngészője átirányíthatóvá váljon meghatározott weboldalakra. A problémát az jelenti, hogy ennek a paraméternek, sima URL-en keresztül tulajdonképpen bármilyen érték adható, így tetszőleges átirányítások hajthatók végre.
Woods a kísérletei során először egy olyan URL-t állított össze, amely a szokásos Google-féle hitelesítés után szó nélkül dobta át a böngészőt a megadott weboldalra. Aztán a szóban forgó paraméternek egy olyan értéket adott, amely a Google Drive felhős tárhelyén elhelyezett egyik - nyilvánosan megosztott - fájlra mutatott. Bejelentkezés után ez a fájl gond nélkül le is töltődött a számítógépre anélkül, hogy ehhez bármiféle felhasználói jóváhagyásra szükség lett volna.
A biztonsági kutató szerint a paraméter meglehetősen pongyola ellenőrzése több módon is segítheti a támadókat. Például szerepet kaphat webes vírusterjesztésben és adathalászatban is. Ez utóbbi esetben a támadó elérheti, hogy miután a felhasználó sikeresen belép a Google fiókjába, akkor egy hamis bejelentkező oldalra irányítja át, mintha az azonosítás nem sikerült volna. Ekkor a felhasználó már a támadó weblapján adja meg (minden bizonnyal gyanútlanul) az adatait, amelyek rögtön az elkövetőhöz kerülnek.
A kockázatokat fokozza, hogy a Google egyelőre nem szánta rá magát arra, hogy változtasson a problémás paraméter kezelésén. Woods már három alkalommal vette fel a kapcsolatot a Google-lel, de egyelőre nem történt előrelépés az ügyben. A Google első álláspontja az volt, hogy a bejelentett sebezhetőség valójában nem éri el azt a kockázati szintet, ami a felhasználói adatok bizalmasságát és integritását veszélyeztetné. Woods azonban mindezt nem így gondolja, és a nyilvánossághoz fordult bízva abban, hogy a Google változtat a véleményén.
A biztonsági kutató a felhasználóknak azt tanácsolta, hogy mindig gondosan ellenőrizzék a webböngészőkbe bemásolt vagy megjelenő URL-eket. A Google-nek pedig azt javasolta, hogy a problémás paraméter esetében vezessen be korlátozásokat az elfogadott (fehérlistás) domainek körére vonatkozóan.
-
A Google ChromeOS két fontos biztonsági javítást kapott.
-
Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.
-
Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.
-
A cURL fejlesztői négy biztonsági hibáról számoltak be.
-
Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.
-
A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.
-
A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.
-
A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.
-
A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.
-
A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.