domingo, 24 de novembro de 2013

Falha de segurança da Gmail deixa senhas serem alteradas (Fixed by Google)

Oren Hafif, um analista de segurança descobriu uma recente vulnerabilidade onde as dicas dadas pelo Gmail enganam seus usuários a entregar senhas, enquanto navega pelo link de recuperação (que o mais surpreendente é que está sendo no protocolo 443), confira: https://www.google.com/accounts/recovery/
Hafif observa que a Google poderia fazer uma melhoria nas proteções contra a vulnerabilidade CSRF/XSRF (Cross-Site Request Forgery) proteção para incluir o uso consistente de CAPTCHAs, ou aquelas imagens obscuras utilizadas para contar bots e os seres humanos separados.


Aparentemente, foi usado um phishing email para poder lançar o ataque XSS (Cross-Site Scripting) e no vídeo abaixo é mostrado o final do ataque.


A falha já foi corrigida pela Google, tendo 10 dias para resolver de acordo com Hafif.

Relatos como estes só servem para confirmar que nenhuma aplicação é perfeitamente seguro. No entanto, ainda é reconfortante saber que existem chapéu branco (White-Hat Hackers) pesquisadores que estão relatando os que afectam os principais serviços, como o Google.

Para responsavelmente divulgação da vulnerabilidade, Hafif será recompensado no âmbito do Programa de Vulnerabilidade Recompensa Google (encontrado aqui).

Nenhum comentário:

Postar um comentário