ГлавнаяНовостиНовостиНовости, 201609Новости, 201609 → Google отказалась устранять уязвимость на собственной главной странице

Google отказалась устранять уязвимость на собственной главной странице

Google отказалась устранять баг на странице входа в учетную запись Google (https://accounts.google.com/ServiceLogin?service=mail), связанный с параметром continue. Более того, корпорация заявила, что не считает этот баг уязвимостью, сообщает исследователь по безопасности Айдан Вудс (Aidan Woods), который сообщил компании о найденной ошибке и получил ответ.

КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

Сети :: [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | Статусы

Как это работает

Добавление параметра continue в URL сервера Google.com позволяет при правильном введении пароля перенаправить пользователя в тот сервис Google, в который он намеревался войти.

Для того, чтобы избежать фишинговых ссылок, Google ограничила работу параметра continue серверами в домене google.com. Таким образом, редирект может выполниться, например, на drive.google.com или docs.google.com, но не может на example.com.

Айдан Вудс нашел способ, как это ограничение обойти.

Редирект на произвольный сайт

Сервер Google.com поддерживает технологию проекта Accelerated Mobile Pages (AMP), которая позволяет выполнять редирект на мобильную версию сайта (при ее наличии), если пользователь переходит по ссылке на этот сайт с мобильного устройства. Для того чтобы заставить технологию работать, необходимо дописать к google.com выражение /amp/, после которого указать адрес сайта, например, google.com/amp/example.com. На мобильном устройстве в этом случае откроется версия сайта, оптимизированная под небольшой экран. На десктопе пользователь увидит полноценную страницу.

Демонстрация уязвимости сервера Google.com

Баг, по мнению Вудса, заключается в том, что сервер Google никак не проверяет безопасность ссылки, указанной после параметра amp, а также в том, что ссылка может быть любая, на любой сайт в мире (иначе смысл технологии нарушается).

Таким образом, добавив к google.com параметр continue и написав после него сылку с выражением amp, можно заставить сервер выполнить редирект на любой сайт. Например, http://acounts.google.com/ServiceLogin?continue=https://www.google.com/amp/example.com&service=mail после удачного ввода пароля приведет на сайт example.com, который не имеет с Google ничего общего.

Возможность для фишинга

Вудс утверждает, что это может быть орудием злоумышленников: достаточно распространить письмо с соответствующей ссылкой на сайт Google.com, подставив в него ссылку на вредоносный сайт, на который пользователь в итоге попадет. Этот вредоносный сайт можно сделать копией интерфейса любого из сервисов Google, а после того, как пользователь на нем окажется, попросить ввести пароль и похитить его. В этом суть фишинга.

Злоумышленник может поступить еще проще: просто сделать редирект на вредоносный файл, хранящийся в drive.google.com, так как этот адрес проходит проверку при редиректе (он находится в зоне Google). Файл скачается на компьютер жертвы автоматически. 

Ответ Google

В переписке с Google Вудс объяснил ситуацию и предоставил примеры. «Спасибо за ваше исследование и отчет, которые помогают нам повышать безопасность наших пользователей! Мы изучили предоставленную вами информацию и приняли решение не считать вашу находкой уязвимостью», — ответили в компании.

Примечательно, что в блоге Google Webmasters представители компании еще в 2009 г. написали, что не считают открытый редирект с сайта Google.com уязвимостью. 

ГлавнаяНовостиНовостиНовости, 201609Новости, 201609 → Google отказалась устранять уязвимость на собственной главной странице

Подготовка кадров для цифровой экономики подорожала втрое

Затраты на федерального проекта «Кадры для цифровой экономики» увеличились в три раза - c 51 млрд руб. до 139 млрд руб. В то же время власти решили практически полностью отказаться от внебюджетного финансирования, объем которого ранее в данном федпро...

ЦИК разрешил увеличивать срок досрочного голосования по Конституции

Напротив каждого варианта в бюллетене будет размещен пустой квадрат, в котором и необходимо поставить отметку....

Китай откажется от Windows в госсекторе через три года. Ее замена почти готова

Власти Китая инициировали разработку новой системы Unity Operating System в рамках постепенного отказа от иностранного ПО, в частности, ОС Windows. Система создается в версиях для ПК и серверов и базируется на китайском Linux-дистрибутиве, в основе к...

​В США власти готовы из-за коронавируса выделить по 3 тыс. долларов на семью

Федеральные власти США в рамках пакета мер по стимулированию экономики в свете распространения нового коронавируса готовы выделить примерно по 3 тыс. долларов на семью, а также около 110 млрд больницам. Об этом заявил в воскресенье министр финансов С...

Впервые рассекречено, сколько Дуров тратит на Telegram. Это сотни миллионов долларов

Американский суд признал токены Gram из состава блокчейн-платформы TON Павла Дурова ценными бумагами. Решение предварительное и может быть обжаловано, но над TON нависла угроза – платформа до сих пор не запущена, Дуров рискует потерять почти $2 млрд ...

[Популярные социальные сети] [*Добавить сайт]

Нравится


Группы: ВК | FB | Tw | G+ | OK

Рубрики | КАТАЛОГ | Новости | Контакты |