Новости и события » Hi-Tech » Уязвимость на странице авторизации Google позволяет инфицировать ПК жертвы вредоносным ПО

Уязвимость на странице авторизации Google позволяет инфицировать ПК жертвы вредоносным ПО

Уязвимость на странице авторизации Google позволяет инфицировать ПК жертвы вредоносным ПО

Британский исследователь безопасности Эйдан Вудс (Aidan Woods) обнаружил уязвимость на странице авторизации Google, позволяющую злоумышленникам загружать файлы на компьютер пользователя, когда тот нажимает на кнопку «Войти».

Проблема связана с тем, что Google принимает continue=[link] в качестве параметра URL-адреса страницы авторизации, указывающего серверу Google, куда перенаправить пользователя после прохождения аутентификации. В компании предусмотрели возможные риски, связанные с данным параметром, поэтому ограничили его использование только доменами google.com, использующими *.google.com/*, где * - символ подстановки. Это значит, что ссылки drive.google.com и docs.google.com могут считаться действительными параметрами continue URL-адреса.

Как пояснил Вудс, злоумышленник может загрузить вредоносное ПО в свою учетную запись на Google Drive или Google Docs и спрятать URL в ссылке на официальную страницу авторизации Google. Пользователи, получившие фишинговое письмо с такой ссылкой, будут уверены, будто она ведет на легитимную страницу. После завершения процесса авторизации на компьютер жертвы без ее ведома будет загружено вредоносное ПО.

Вудс сообщил Google о проблеме, однако не получил от компании никакого ответа.


США, Япония и Южная Корея объединятся против КНДР

США, Япония и Южная Корея объединятся против КНДР

США, Япония и Южная Корея договорились расширить обмен информацией об угрозах КНДР, сообщается на официальном сайте Пентагона. "Министры обороны отметили коллективные усилия по расширению обмена информацией о ядреных и ракетных угрозах Северной подробнее ...

загрузка...

 

Вверх