Hlavní navigace

Obnova hesla k účtu u Googlu skýtala zranitelnosti využitelné k phishingu

Marek Janouš 22. 11. 2013

Postup obnovy hesla k účtu u Googlu prozkoumal zkušený bezpečnostní výzkumník; objevené zranitelosti oznámil Googlu a nyní jsou údajně už opraveny.

V postupu, jakým Google umožňoval obnovit heslo k uživatelskému účtu, bylo nalezeno několik závažných zranitelností, které dohromady umožňovaly takový phishingový útok, při kterém by se běžný uživatel nechal s vysokou pravděpodobností svést k vepsání nového hesla do formuláře podvrženého útočníkem. Tak prozrazené heslo by se přitom skutečně zároveň nastavilo pro jeho účet u Googlu.

Možný útok složený z několika vyzkoumaných zranitelností (CSRF, XSS) v postupu obnovy hesla popisuje na svém blogu Oren Hafif. Ten zjištěné ještě před zveřejněním předpisově nahlásil Googlu a Google zranitelnosti opravil do deseti dnů. Orenovi vyslovil uznání a předá mu také finanční odměnu.

EBF16

Případ ukazuje, že jakkoli lze snad považovat účet u Googlu za prolomitelný poměrně obtížně — alespoň oproti mnoha jiným webovým službám — neznamená to, že kód od Googlu nemůže být zranitelný.

Přitom je běžné, že řada uživatelů volí Gmail jako ‚master‘ e‑mailový účet, na který by si dali poslat odkaz na obnovu hesla k jiným službám. Průnik do jejich účtu u Googlu by tedy umožnil proniknout i do těchto jiných služeb. Anebo se někam rovnou přihlásit pomocí Googlu.

Našli jste v článku chybu?
Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin