Разглашены детали уязвимости в сервисе восстановления учетной записи Google

image

Теги: Google, уязвимость, учетная запись

Брешь в системе безопасности позволяла злоумышленникам получить пароль от аккаунта Google сразу же после его изменения.

Последние обновления безопасности Google включали в себя исправление серьезной уязвимости в сервисе восстановления учетной записи Google, детали которой только недавно были представлены общественности.

Израильский исследователь Орен Хафифи (Oren Hafifi) отмечает в своем блоге, что похищение пароля от учетной записи Google затрагивает не только электронный ящик, но и прочие сервисы Google – к примеру, Google Wallet или облачное хранилище Google Drive – и ставит под угрозу конфиденциальную информацию пользователя.

Хафифи использовал межсайтовый скриптинг (XSS), подделку межсайтовых запросов (CSRF) и обход парольного потока (password flow bypass) для совершения атаки.

Вначале пользователь получает фишинговое электронное письмо якобы от Google, в котором написано, что пользователю требуется подтвердить подлинность учетной записи либо сменить сам пароль, для чего следует перейти по предоставленной в письме ссылке. Она ведет на сайт атакующего, откуда будут выполняться все CSRF-запросы. Вслед за этим происходит запуск XSS-атаки, а ничего не подозревающая жертва создает новый пароль, который сразу же попадает в руки злоумышленников.

По словам исследователя, Google исправила брешь в системе в течение 10 дней. За продемонстрированную уязвимость Хафифи вскоре должен получить $5,100 и место в Зале славы Google, о чем он написал в обсуждении на Reddit.


или введите имя

CAPTCHA