Támadásokat segíthet a Google bejelentkező oldala

​A Google felhasználói bejelentkezésekre szolgáló felülete trükkös támadásokhoz vezethet. Ennek ellenére jelenleg még arról folyik a vita, hogy a hiba biztonsági résnek tekinthető-e.
 

Aidan Woods biztonsági kutató az elmúlt időszakban alaposabban is szemügyre vette a Google azon weboldalát, amely a felhasználói bejelentkezéseket kezeli. A szakember a különféle paraméterek próbálgatásakor egy érdekességre lett figyelmes, amelyről azt gondolta, hogy különféle támadásokhoz is felhasználható lehet. Ennek igazolására többféle vizsgálatot végzett, amik során kockázatokat felvető módszereket dolgozott ki. 

A rendellenesség a bejelentkező oldal által kezelt "continue" nevű paraméter kapcsán merült fel. Ez arra szolgál, hogy az azonosítást követően a felhasználó böngészője átirányíthatóvá váljon meghatározott weboldalakra. A problémát az jelenti, hogy ennek a paraméternek, sima URL-en keresztül tulajdonképpen bármilyen érték adható, így tetszőleges átirányítások hajthatók végre. 

Woods a kísérletei során először egy olyan URL-t állított össze, amely a szokásos Google-féle hitelesítés után szó nélkül dobta át a böngészőt a megadott weboldalra. Aztán a szóban forgó paraméternek egy olyan értéket adott, amely a Google Drive felhős tárhelyén elhelyezett egyik - nyilvánosan megosztott - fájlra mutatott. Bejelentkezés után ez a fájl gond nélkül le is töltődött a számítógépre anélkül, hogy ehhez bármiféle felhasználói jóváhagyásra szükség lett volna. 


A biztonsági kutató szerint a paraméter meglehetősen pongyola ellenőrzése több módon is segítheti a támadókat. Például szerepet kaphat webes vírusterjesztésben és adathalászatban is. Ez utóbbi esetben a támadó elérheti, hogy miután a felhasználó sikeresen belép a Google fiókjába, akkor egy hamis bejelentkező oldalra irányítja át, mintha az azonosítás nem sikerült volna. Ekkor a felhasználó már a támadó weblapján adja meg (minden bizonnyal gyanútlanul) az adatait, amelyek rögtön az elkövetőhöz kerülnek.

A kockázatokat fokozza, hogy a Google egyelőre nem szánta rá magát arra, hogy változtasson a problémás paraméter kezelésén. Woods már három alkalommal vette fel a kapcsolatot a Google-lel, de egyelőre nem történt előrelépés az ügyben. A Google első álláspontja az volt, hogy a bejelentett sebezhetőség valójában nem éri el azt a kockázati szintet, ami a felhasználói adatok bizalmasságát és integritását veszélyeztetné. Woods azonban mindezt nem így gondolja, és a nyilvánossághoz fordult bízva abban, hogy a Google változtat a véleményén.

A biztonsági kutató a felhasználóknak azt tanácsolta, hogy mindig gondosan ellenőrizzék a webböngészőkbe bemásolt vagy megjelenő URL-eket. A Google-nek pedig azt javasolta, hogy a problémás paraméter esetében vezessen be korlátozásokat az elfogadott (fehérlistás) domainek körére vonatkozóan.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség