Hlavní navigace

Obnova hesla k účtu u Googlu skýtala zranitelnosti využitelné k phishingu

Kamil Pošvic

V postupu, jakým Google umožňoval obnovit heslo k uživatelskému účtu, bylo nalezeno několik závažných zranitelností, které dohromady umožňovaly takový phishingový útok, při kterém by se běžný uživatel nechal s vysokou pravděpodobností svést k vepsání nového hesla do formuláře podvrženého útočníkem. Tak prozrazené heslo by se přitom skutečně zároveň nastavilo pro jeho účet u Googlu.

Možný útok složený z několika vyzkoumaných zranitelností (CSRF, XSS) v postupu obnovy hesla popisuje na svém blogu Oren Hafif. Ten zjištěné ještě před zveřejněním předpisově nahlásil Googlu a Google zranitelnosti opravil do deseti dnů. Orenovi vyslovil uznání a předá mu také finanční odměnu.

(Zdroj: Lupa.cz)

Našli jste v článku chybu?