Google устранила clickjacking-брешь в своих продуктах

image

Теги: атака, clickjaking, брешь, Google

Уязвимость позволяла удалить электронную переписку, а также производить манипуляции в учетных записях пользователей Google Plus и YouTube.

Специалисты Google устранили clickjacking-уязвимость, позволявшую атакующему похитить или удалить электронную переписку, а также производить манипуляции с учетными записями пользователей Google Plus и YouTube.

Как сообщил представитель компании в письме журналистам Threatpost, брешь затрагивала разработчиков, использующих инструмент Google API Explorer для совершения определенных действий. Сервис позволяет осуществлять взаимодействие с различными интерфейсами Google, в том числе просматривать доступные методы, поддерживаемые параметры, совершать аутентифицированные API-звонки, а также выполнять запросы для любого метода в реальном времени.

Впервые об уязвимости  сообщил  исследователь безопасности Паулос Йибело (Paulos Yibelo), которому впоследствии Google выплатила $1 337 в качестве награды за обнаружение бреши.

Clickjacking-атака позволяет злоумышленнику выполнить клик на сайте-жертве от имени посетителя. Как заявили в Google, масштаб проблемы сравнительно невелик, однако по мнению Йибело, брешь представляет серьезную угрозу, особенно если учесть, что затронуты все продукты компании, в том числе Gmail, Календари, Google Play, YouTube, AdSense и другие сервисы.

По словам специалиста, для того чтобы выполнить действие, жертве достаточно кликнуть на единственную кнопку. Однако построение страницы - процесс не настолько простой и потребует знания формата CSS. Основная идея эксплоита заключается в создании прозрачного фрейма страницы с кнопкой. К примеру, злоумышленник может обманом заставить пользователя щелкнуть на специальную кнопку, скрытую за iFrame. При этом жертва будет думать, что регистрируется для получения бесплатного подарка или награды.

Успешное выполнение атаки зависит от нескольких факторов. К примеру, жертва должна иметь авторизованный доступ к Google API, скажем, через YouTube или Blogger. Далее хакеру потребуется заманить ее на web-сайт, на котором размещается clickjacking-эксплоит. В случае удачи, атакующий получит возможность производить манипуляции с учетной записью пользователя в YouTube, удалять блоги, добавлять комментарии, прочитывать и удалять электронную переписку или взаимодействовать с аккаунтом Google Plus.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.