Los ingenieros de Google han aplastado varias vulnerabilidades de seguridad de alto impacto en la cuenta de sistema de recuperación de la empresa que permitió a los atacantes para secuestrar las cuentas de usuario.
Un ataque de prueba de concepto que explota los errores requiere que la víctima haga clic en un enlace de una trampa explosiva que conduce a Google.com contenido en un spear phishing de correo electrónico. Detrás de las escenas, el enlace redirige brevemente a la página web de un atacante, incluso mientras se abría una página legítima de restablecimiento de contraseña de Google. Cuando la víctima hace clic en el enlace mientras está conectado a la cuenta de Gmail objetivo, el sitio atacante también llevó a cabo un ataque de cross-site scripting. El equivalente de aplicaciones Web de un truco mental Jedi, los dos exploits envió tanto la contraseña introducida por la víctima y la cookie de autenticación utilizada para acceder a la cuenta de la página web del atacante.
\ "Es un ataque inteligente, \" Jeremiah Grossman, director de tecnología de la empresa de seguridad de aplicaciones web WhiteHat Security, dijo a Ars. \ "Hay elegancia y simplicidad. \" El exploit desarrollador \ "tenía un montón de trabajo detrás de las escenas para que el ataque simple. Esto es lo que estamos destinados a hacer en un navegador en Gmail. Cuando vemos enlaces, vamos a re la intención de hacer clic en ellos. \ "
Leer 6 párrafos restantesComentarios
     |
| Tweet |
No hay comentarios:
Publicar un comentario