Новости и события » Hi-Tech » Уязвимость на странице авторизации Google позволяет инфицировать ПК жертвы вредоносным ПО

Уязвимость на странице авторизации Google позволяет инфицировать ПК жертвы вредоносным ПО

Уязвимость на странице авторизации Google позволяет инфицировать ПК жертвы вредоносным ПО

Британский исследователь безопасности Эйдан Вудс (Aidan Woods) обнаружил уязвимость на странице авторизации Google, позволяющую злоумышленникам загружать файлы на компьютер пользователя, когда тот нажимает на кнопку «Войти».

Проблема связана с тем, что Google принимает continue=[link] в качестве параметра URL-адреса страницы авторизации, указывающего серверу Google, куда перенаправить пользователя после прохождения аутентификации. В компании предусмотрели возможные риски, связанные с данным параметром, поэтому ограничили его использование только доменами google.com, использующими *.google.com/*, где * - символ подстановки. Это значит, что ссылки drive.google.com и docs.google.com могут считаться действительными параметрами continue URL-адреса.

Как пояснил Вудс, злоумышленник может загрузить вредоносное ПО в свою учетную запись на Google Drive или Google Docs и спрятать URL в ссылке на официальную страницу авторизации Google. Пользователи, получившие фишинговое письмо с такой ссылкой, будут уверены, будто она ведет на легитимную страницу. После завершения процесса авторизации на компьютер жертвы без ее ведома будет загружено вредоносное ПО.

Вудс сообщил Google о проблеме, однако не получил от компании никакого ответа.


Взрыв на складе в Балаклее - это диверсия, давайте называть...

Взрыв на складе в Балаклее - это диверсия, давайте называть вещи своими именами

Взрывы боеприпасов на складе в Балаклее. Убийство Вороненкова в центре Киеве. Это не теракты. Это диверсия и политическое убийство. Жителям Балаклеи, Вербовки, Яковенково от этого, конечно, не легче. И погибшему это знание не поможет. Но мы должны, подробнее ...

загрузка...

 

Вверх