r   e   k   l   a   m   a
r   e   k   l   a   m   a

Google od 5 lat wiedziało o luce wykorzystanej do phishingu

Strona główna AktualnościBEZPIECZEŃSTWO

Zaledwie wczoraj byliśmy pod wrażeniem szybkiej reakcji Google na realizowany poprzedniego wieczora atak phishingowy, a już teraz pojawiają się informacje, według których nie do końca jest co chwalić. Okazuje się bowiem, że wykorzystana w ataku luka znana była już od pięciu lat, a co więcej – zaraportowana Google, za co autor otrzymał od firmy nagrodę.

Choć o szczegółach przeczytać można w pierwszej publikacji związanej z atakiem, przypomnijmy pokrótce na czym polegał: do użytkownika wysyłany był fałszywy e-mail z informacją o udostępnionym do edycji Dokumencie Google. Wystarczyło kliknąć na hiperłącze, aby zostać przekierowanym na podrobioną stronę, która wymagała zaakceptowania uprawnień aplikacji o nazwie Google Docs, w praktyce niezwiązanej z faktycznymi usługami Google.

Jak przeczytać można na łamach Y Combinator, luka w bezpieczeństwie udostępnianych Dokumentów Google wykryta została przez André DeMarre jeszcze w 2011 roku. Opisał on wówczas niemal identyczny scenariusz, który oszuści zrealizowali przedwczoraj. Zwrócił uwagę na możliwość zarejestrowania aplikacji o mylącej nazwie, a następnie wykorzystania jej do zdobycia niezbędnych uprawnień dostępu.

r   e   k   l   a   m   a

Gdyby autor odkrycia zachował tę wiedzę dla siebie, za szybkie rozwiązanie ostatniego ataku, istotnie Google należałyby się przede wszystkim pochwały. Okazuje się jednak, że 5 lat temu problem został nie tylko zgłoszony firmie, ale zaproponowano również jego skuteczne rozwiązanie. Trud został doceniony, bo i wynagrodzony finansowo, ale w życie wprowadzono tylko część z poprawek, które zaproponował DeMarre, w praktyce nie zamykając całkowicie furtki, którą wykorzystano dwa dni temu. Co było tego przyczyną?

Na to pytanie w zasadzie trudno jednoznacznie odpowiedzieć. Nawet jeśli zaproponowana przez DeMarre implementacja wymagała poprawek, dlaczego nie zdecydowano się na ich stworzenie aż przez 5 lat? Można również chyba bezpiecznie założyć, że gdyby nie atak, zmian w dziedzinie bezpieczeństwa udostępniania plików do dzisiaj by nie było.

Skoro jednak atak miał miejsce, a Google (zaskoczone sytuacją?) szybko zareagowało, postanowiło zająć się prewencją i informuje użytkowników o sposobach zapobiegania phishingowi na swoim blogu. Nie zabrakło oczywiście nawiązań do opisywanej sprawy – atak dosięgnął rzekomo mniej niż 0,1% użytkowników Dokumentów Google, a dzięki podjętym krokom, w tym aktualizacji aplikacji mobilnych, w przyszłości podobne sytuacje powinny się już nie powtórzyć.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.