Исследователь безопасности Эйдан Вудс обнаружил уязвимость на странице авторизации в сервисы Google, с помощью которой хакеры могут украсть пароль жертвы. Об этом сообщает Business Insider.
Найденный специалистом баг связан со значением «continue» в URL-адресе, которое позволяет вставлять дополнительные параметры и перенаправить пользователя на любой адрес, содержащий «google.com».
Вудс обнаружил, что злоумышленники могут загружать вредоносные файлы в Google Drive или Google Docs, а затем, используя уязвимость, спрятать ссылку на странице авторизации поисковика. Чтобы жертва установила себе зловред, достаточно отправить фишинговое письмо с такой подставной ссылкой.
Исследователь опубликовал видео о том, как происходит подмена.
Вудс сообщил о проблеме в Google, однако представители компании ему не ответили.
Ранее пользователь социальной сети «ВКонтакте» под именем Алекс Ребл обнаружил, что через меню «Закладки» можно узнать привязанные к профилю сервиса номер телефона и адрес электронной почты.