028

Κενά ασφαλείας στην υπηρεσία ανάκτησης κωδικών πρόσβασης της Google

Ο ερευνητής ασφαλείας Oren Hafif ανακάλυψε μερικά τρωτά σημεία στη διαδικασία ανάκτησης κωδικού πρόσβασης της που θα μπορούσαν να χρησιμοποιηθούν από κακόβουλους χρήστες για να αποκτήσουν πρόσβαση σε ξένους λογαριασμούς.

Οι επιθέσεις στο Google δεν είναι ασυνήθιστες, αλλά ο εμπειρογνώμονας κατάφερε να ανακαλύψει έναν πολύ ρεαλιστικό τρόπο για μια τέτοια επίθεση και να χρησιμοποιήσει μια σειρά από ελλείψεις που εντόπισε στη διαδικασία ανάκτησης κωδικού πρόσβασης.

Τρία διαφορετικά κενά ασφαλείας έχουν αξιοποιηθεί για αυτή την επίθεση: ένα request forgery (CSRF), ένα cross-site scripting (XSS) και ένα .

Ο εμπειρογνώμονας δημοσίευσε ένα σενάριο επίθεσης spear-phishing. Ο επιτιθέμενος στέλνει στο θύμα του ένα ψεύτικο μήνυμα για “Επιβεβαίωση κυριότητας λογαριασμού” που μοιάζει πάρα πολύ με σελίδα του .

Το email ζητάει από τον παραλήπτη να επιβεβαιώσει την κυριότητα του λογαριασμού δίνοντας το όνομα χρήστη και τον κωδικό πρόσβασης κάνοντας κλικ σε ένα σύνδεσμο. Η σύνδεση που υπάρχει στο e-mail φαίνεται να είναι ένα URL της google.com, αλλά στην πραγματικότητα οδηγεί το θύμα στην ιστοσελίδα του εισβολέα.

  Γνωρίστε την Google από την άλλη μεριά

Αυτό είναι το σημείο όπου πραγματοποιείται η εκμετάλλευση των τρωτών σημείων.
Η Google έχει διορθώσει τις ευπάθειες μέσα σε 10 ημέρες από την κοινοποίηση και θα επιβραβεύσει τον Hafif με 5.100 δολάρια.

Πρόσθετες τεχνικές λεπτομέρειες σχετικά με αυτήν την επίθεση είναι διαθέσιμες στο blog του Hafif.
Δείτε το βίντεο

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


8  +  1  =