На странице авторизации Google найдена критическая уязвимость
Эйдан Вудс, который занимается исследованием безопасности в интернете, сообщил, что ему удалось обнаружить уязвимость на странице, используемой для авторизации в сервисах Google. По его словам, злоумышленники могут воспользоваться этой возможностью для получения пароля пользователей, указывается на страницах Business Insider.
Обнаруженный специалистом баг имеет отношение к значению части «continue», входящей в состав комплексного URL-адреса. Она позволяет добавлять уточняющие параметры для перенаправления пользователя на совершенно любой адрес, в котором содержится участок указание на адрес google.com.
Вудс выявил, что хакеры могут осуществить загрузку вредоносных файлов непосредственно в Google Drive либо один из вариантов Google Docs, чтобы после этого, воспользовавшись указанной выше уязвимостью, замаскировать ссылку страницы авторизации поискового сервиса. В результате жертва инсталлирует на свое устройство вредоносный код. Для этого достаточно отослать пользователю фишинговое письмо, содержащее подобную подставную ссылку. Эйдан Вудс опубликовал подробную запись о самом процессе подмены. Он сообщил о выявленной проблеме компании Google, однако никакого ответа от представителей интернет-гиганта пока не получил.
Федор Алексеев
