Новости и события » Hi-Tech » Уязвимость на странице авторизации Google позволяет инфицировать ПК жертвы вредоносным ПО

Уязвимость на странице авторизации Google позволяет инфицировать ПК жертвы вредоносным ПО

Уязвимость на странице авторизации Google позволяет инфицировать ПК жертвы вредоносным ПО

Британский исследователь безопасности Эйдан Вудс (Aidan Woods) обнаружил уязвимость на странице авторизации Google, позволяющую злоумышленникам загружать файлы на компьютер пользователя, когда тот нажимает на кнопку «Войти».

Проблема связана с тем, что Google принимает continue=[link] в качестве параметра URL-адреса страницы авторизации, указывающего серверу Google, куда перенаправить пользователя после прохождения аутентификации. В компании предусмотрели возможные риски, связанные с данным параметром, поэтому ограничили его использование только доменами google.com, использующими *.google.com/*, где * - символ подстановки. Это значит, что ссылки drive.google.com и docs.google.com могут считаться действительными параметрами continue URL-адреса.

Как пояснил Вудс, злоумышленник может загрузить вредоносное ПО в свою учетную запись на Google Drive или Google Docs и спрятать URL в ссылке на официальную страницу авторизации Google. Пользователи, получившие фишинговое письмо с такой ссылкой, будут уверены, будто она ведет на легитимную страницу. После завершения процесса авторизации на компьютер жертвы без ее ведома будет загружено вредоносное ПО.

Вудс сообщил Google о проблеме, однако не получил от компании никакого ответа.


КНДР угрожает США "катастрофическими...

КНДР угрожает США "катастрофическими последствиями" из-за учений с Южной Кореей

Северная Корея угрожает США "катастрофическими последствиями" из-за ежегодных военных учений, сообщает Aljazeera. Ударная группа ВМС США "Карл Винсон" прибыла в воды вблизи Корейского полуострова и начала учения с южнокорейским подробнее ...

загрузка...

 

Вверх