Уязвимость страницы авторизации Google позволяет злоумышленникам узнать пароль

Исследователь безопасности Эйдан Вудс обнаружил уязвимость на странице авторизации в сервисы Google, с помощью которой хакеры могут украсть пароль жертвы. Об этом сообщает Business Insider.

Найденный специалистом баг связан со значением «continue» в URL-адресе, которое позволяет вставлять дополнительные параметры и перенаправить пользователя на любой адрес, содержащий «google.com».

Вудс обнаружил, что злоумышленники могут загружать вредоносные файлы в Google Drive или Google Docs, а затем, используя уязвимость, спрятать ссылку на странице авторизации поисковика. Чтобы жертва установила себе зловред, достаточно отправить фишинговое письмо с такой подставной ссылкой.

Исследователь опубликовал видео о том, как происходит подмена.

Вудс сообщил о проблеме в Google, однако представители компании ему не ответили.

Ранее пользователь социальной сети «ВКонтакте» под именем Алекс Ребл обнаружил, что через меню «Закладки» можно узнать привязанные к профилю сервиса номер телефона и адрес электронной почты.