Эксперт обнаружил уязвимость на странице авторизации Google

Эксперт обнаружил уязвимость на странице авторизации Google

Эксперт обнаружил уязвимость на странице авторизации Google

На странице авторизации Google обнаружена уязвимость белого списка, позволяющая злоумышленнику перенаправлять пользователей на произвольные страницы или загрузить вредоносный код, предупреждает эксперт по безопасности Эйдан Вудс (Aidan Woods).

По мнению исследователя, страница авторизации Google принимает уязвимый параметр GET ‘continue’, который должен указывать на сервис Google, но не проверяет тип сервиса, который был указан. Таким образом, злоумышленник может вставить любое требуемое значение в конце процесса входа в систему.

Из-за этой уязвимости злоумышленник может загрузить файлы с помощью Google Drive, а также установить редиректы с помощью различных сервисов.

Для того, чтобы использовать эту уязвимость для редиректа, злоумышленник должен установить значение уязвимого параметра “continue=https://www.google.com/amp/example.com#identifier,”, это позволит отправить пользователя на произвольную страницу после входа в систему, объясняет эксперт. Таким образом, легитимная страница авторизации Google может использоваться для фишинговых атак.

Вудс приводит следующий пример атаки – пользователь может быть перенаправлен на страницу, которая будет утверждать, что пароль или логин были введены неправильно и попросить еще раз ввести их, так данные пользователя могут попасть в руки злоумышленников. 

Исследователь также объясняет, что параметр ‘continue’ принимает домен docs.google.com в качестве значения, это значит, что злоумышленник может загрузить любой файл, находящийся в Google Drive, если только для него была создана ссылка общего доступа. Более того, злоумышленник может указать прямой путь для загрузки файла и он будет загружен браузером не выходя из легитимной страницы входа в систему Google. Пользователь в этом случае будет думать, что файл загружается самим Google.

Исследователь говорит, что он был в состоянии успешно загрузить как .html, так и EXE-файлы, не покидая страницы входа в систему. 

Вудс также отмечает, что пользователи могут избежать опасности, просто проверяя URL на каждом этапе входа в систему, либо не кликать на ссылки, которые не поступают непосредственно от Google. Также никогда не стоит запускать файлы, которые якобы идут от Google в процессе входа в систему.

Эксперт утверждает, что послал Google три различных отчета на тему наличия уязвимости. Только на третий отчет был дан ответ, что эта ситуация не будет отслеживаться как ошибка безопасности.

Тем не менее, Вудс считает, что уязвимость вполне реальна, и что публичное раскрытие информации может заставить Google изменить свою позицию по этому вопросу. Он даже опубликовал видео с подробным описанием уязвимости.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Основная масса россиян никогда не меняла пароли в соцсетях

Как показало исследование социальной сети «Одноклассники», 40% российских пользователей соцсетей никогда не меняли пароль после первичной настройки учетной записи.

Согласно результатам исследования, которые оказались в распоряжении «Лента Ру», основная масса пользователей (40%) никогда не меняет пароли.

Еще 30% делает это только тогда, когда получает уведомление о том, что учетные данные оказались среди тех, которые «утекли».

Более-менее регулярно меняют пароли только 30% пользователей. При этом 22% делают это через каждые 3-6 месяцев, а 8% — ежемесячно.

Двухфакторную аутентификацию применяет около трети пользователей. Наиболее распространены одноразовые СМС-коды (27 процентов) и звонки для сброса (5 процентов). 

При этом четверть опрошенных не пользуется двухфакторной аутентификацией, хотя знает о такой возможности. Причем почти половина (43%) осознает, что отказ от двухфакторной аутентификации резко снижает уровень безопасности.

При создании паролей пользователи учитывают такие критерии, как легкость запоминания (30%), сложность пароля, включая цифры и символы (23%), а также использование паролей для каждого профиля (17%).

При этом более 35% не знают о возможностях менеджеров паролей, а 26% не видят необходимости в них. Только 8% применяют данный инструмент.

Как показало исследование, 37% пользователей оценивают безопасность своих учетных данных как среднюю, 14% — как высокую.

Проблема с невысоким качеством паролей носит глобальный характер. Как показало исследование NordVPN, на протяжении последних лет доминируют простые и легко подбираемые пароли.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru