Ο ερευνητής ασφαλείας Oren Hafif ανακάλυψε μερικά τρωτά σημεία στη διαδικασία ανάκτησης κωδικού πρόσβασης της Google που θα μπορούσαν να χρησιμοποιηθούν από κακόβουλους χρήστες για να αποκτήσουν πρόσβαση σε ξένους λογαριασμούς.
Οι επιθέσεις phishing στο Google δεν είναι ασυνήθιστες, αλλά ο εμπειρογνώμονας κατάφερε να ανακαλύψει έναν πολύ ρεαλιστικό τρόπο για μια τέτοια επίθεση και να χρησιμοποιήσει μια σειρά από ελλείψεις που εντόπισε στη διαδικασία ανάκτησης κωδικού πρόσβασης.
Τρία διαφορετικά κενά ασφαλείας έχουν αξιοποιηθεί για αυτή την επίθεση: ένα cross-site request forgery (CSRF), ένα cross-site scripting (XSS) και ένα flow bypass.
Ο εμπειρογνώμονας δημοσίευσε ένα σενάριο επίθεσης spear-phishing. Ο επιτιθέμενος στέλνει στο θύμα του ένα ψεύτικο μήνυμα για “Επιβεβαίωση κυριότητας λογαριασμού” που μοιάζει πάρα πολύ με σελίδα του Gmail.
Το email ζητάει από τον παραλήπτη να επιβεβαιώσει την κυριότητα του λογαριασμού δίνοντας το όνομα χρήστη και τον κωδικό πρόσβασης κάνοντας κλικ σε ένα σύνδεσμο. Η σύνδεση που υπάρχει στο e-mail φαίνεται να είναι ένα URL της google.com, αλλά στην πραγματικότητα οδηγεί το θύμα στην ιστοσελίδα του εισβολέα.
Αυτό είναι το σημείο όπου πραγματοποιείται η εκμετάλλευση των τρωτών σημείων.
Η Google έχει διορθώσει τις ευπάθειες μέσα σε 10 ημέρες από την κοινοποίηση και θα επιβραβεύσει τον Hafif με 5.100 δολάρια.
Πρόσθετες τεχνικές λεπτομέρειες σχετικά με αυτήν την επίθεση είναι διαθέσιμες στο blog του Hafif.
Δείτε το βίντεο