Obnova hesla k účtu u Googlu skýtala zranitelnosti využitelné k phishingu

Postup obnovy hesla k účtu u Googlu prozkoumal zkušený bezpečnostní výzkumník; objevené zranitelosti oznámil Googlu a nyní jsou údajně už opraveny.

V postupu, jakým Google umožňoval obnovit heslo k uživatelskému účtu, bylo nalezeno několik závažných zranitelností, které dohromady umožňovaly takový phishingový útok, při kterém by se běžný uživatel nechal s vysokou pravděpodobností svést k vepsání nového hesla do formuláře podvrženého útočníkem. Tak prozrazené heslo by se přitom skutečně zároveň nastavilo pro jeho účet u Googlu.

Možný útok složený z několika vyzkoumaných zranitelností (CSRF, XSS) v postupu obnovy hesla popisuje na svém blogu Oren Hafif. Ten zjištěné ještě před zveřejněním předpisově nahlásil Googlu a Google zranitelnosti opravil do deseti dnů. Orenovi vyslovil uznání a předá mu také finanční odměnu.

EBF16

Případ ukazuje, že jakkoli lze snad považovat účet u Googlu za prolomitelný poměrně obtížně — alespoň oproti mnoha jiným webovým službám — neznamená to, že kód od Googlu nemůže být zranitelný.

Přitom je běžné, že řada uživatelů volí Gmail jako ‚master‘ e‑mailový účet, na který by si dali poslat odkaz na obnovu hesla k jiným službám. Průnik do jejich účtu u Googlu by tedy umožnil proniknout i do těchto jiných služeb. Anebo se někam rovnou přihlásit pomocí Googlu.

Školení: Měření a vyhodnocování kampaní

  •  
    Jak připravit a plánovat kampaně
  • Jak vyhodnocovat a využít důležité metriky
  • Jak to dělat u různých obchodních aktivit

Detailní informace o školení Měření a vyhodnocování kampaní»