Μετά το Phishing η Google αλλάζει πολιτικές στη χρήση του OAuth

Προκειμένου να αποφευχθούν περαιτέρω επιθέσεις ηλεκτρονικού ψαρέματος () στους χρήστες του , η Google αναφέρει ότι θα ενισχύσει την επιβολή του συστήματος OAuth που χρησιμοποιεί για τη σύνδεση των εφαρμογών τρίτων με τους λογαριασμούς της Google.

Η Google εξηγεί λεπτομερέστερα το πώς σκοπεύει να αντιμετωπίσει την κατάχρηση των συστημάτων της για την εξάπλωση μηνυμάτων ηλεκτρονικού “ψαρέματος” μετά την επίθεση phishing της περασμένης εβδομάδας με μια που υποτίθεται ότι ήταν το Google Docs.google

Η ψεύτικη εφαρμογή του Goοgle Docs χρησιμοποιούσε την τεχνολογία OAuth της Goοgle για να ζητήσει πρόσβαση στους λογαριασμούς Gmail των στόχων. Εάν οι χρήστες χορηγούσαν πρόσβαση στην εφαρμογή, το ίδιο email ηλεκτρονικού ψαρέματος αποστελλόταν σε όλες στις επαφές του θύματος.

Αξίζει να αναφέρουμε ότι η συγκεκριμένη είδηση κυκλοφορεί εδώ και μια βδομάδα με τίτλους που κάνουν την Ελληνική διαδικτυακή κοινότητα και ειδικά τους αρχάριους χρήστες να θεωρούν ότι το Gmail μοιράζει ιούς και άλλα “διαβολικά” πράγματα “που χαλάνε τους υπολογιστές”…

Αυτή δεν είναι η πρώτη φορά που εισβολείς έχουν χρησιμοποιήσει το OAuth της Goοgle για phishing.

Οι λεγόμενοι hackers Fancy Bear, έχουν χρησιμοποιήσει την ίδια τεχνική στις αμερικανικές και τώρα στις γαλλικές εκλογές. Όπως επισημαίνει ένας εμπειρογνώμονας , η Goοgle θα μπορούσε να είχε αποτρέψει αυτές τις απόπειρες phishing με ένα πιο λεπτομερή έλεγχο των προγραμματιστών που εγγράφονται για να χρησιμοποιήσουν το μηχανισμό OAuth.

  CIA χρηματοδοτεί project ανάστασης μαμούθ

Ο Chet Wisniewski, κύριος ερευνητής της εταιρείας ασφάλειας Sophos, αναφέρει ότι η επίθεση phishing με τα ψεύτικα Docs “δεν διαφέρει από την κατάχρηση του Goοgle Play από τους προγραμματιστές κακόβουλου λογισμικού”. Μόνο που αντί να ανεβάσουν μια κακόβουλη εφαρμογή στο Google Play, ο χρήστης λαμβάνει ένα ηλεκτρονικού ταχυδρομείου από την Google και εξουσιοδοτεί μια εφαρμογή μέσω του OAuth της εταιρείας.

Η Goοgle, διαθέτει ήδη αρκετούς μηχανισμούς για την καταπολέμηση αυτού του τύπου επιθέσεων “ψαρέματος” (phishing), όπως ο μηχανισμός εντοπισμού και ανίχνευσης ανεπιθύμητων μηνυμάτων μηχανικής μάθησης, το σύστημα Ασφαλούς περιήγησης αλλά και τον έλεγχο για ιούς σε συνημμένα.

Ωστόσο, η εταιρεία δήλωσε ότι θα ενημερώσει τις πολιτικές της στις που χρησιμοποιούν το OAuth.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).