Новости и события » Hi-Tech » Уязвимость на странице авторизации Google позволяет инфицировать ПК жертвы вредоносным ПО

Уязвимость на странице авторизации Google позволяет инфицировать ПК жертвы вредоносным ПО

Уязвимость на странице авторизации Google позволяет инфицировать ПК жертвы вредоносным ПО

Британский исследователь безопасности Эйдан Вудс (Aidan Woods) обнаружил уязвимость на странице авторизации Google, позволяющую злоумышленникам загружать файлы на компьютер пользователя, когда тот нажимает на кнопку «Войти».

Проблема связана с тем, что Google принимает continue=[link] в качестве параметра URL-адреса страницы авторизации, указывающего серверу Google, куда перенаправить пользователя после прохождения аутентификации. В компании предусмотрели возможные риски, связанные с данным параметром, поэтому ограничили его использование только доменами google.com, использующими *.google.com/*, где * - символ подстановки. Это значит, что ссылки drive.google.com и docs.google.com могут считаться действительными параметрами continue URL-адреса.

Как пояснил Вудс, злоумышленник может загрузить вредоносное ПО в свою учетную запись на Google Drive или Google Docs и спрятать URL в ссылке на официальную страницу авторизации Google. Пользователи, получившие фишинговое письмо с такой ссылкой, будут уверены, будто она ведет на легитимную страницу. После завершения процесса авторизации на компьютер жертвы без ее ведома будет загружено вредоносное ПО.

Вудс сообщил Google о проблеме, однако не получил от компании никакого ответа.

ИА «Newsmir.info». При использовании материала гиперссылка обязательна.


Как Одесская область будет отмечать 200-летие Тараса...

Как Одесская область будет отмечать 200-летие Тараса Шевченко

Вчера, 17 января, в Одессе прошел круглый стол. Чиновники разных мастей, начиная от первого заместителя губернатора области до руководителей различных администраций, присутствовали также и представителей общественных и культурных организаций, подробнее ...

загрузка...

 

Вверх