Google устранила clickjacking-брешь

Уязвимость разрешала удалить электронную переписку, и вдобавок создавать манипуляции в учетных записях пользователей Гугл Plus и YouTube.  Эксперты Гугл устранили clickjacking-уязвимость, разрешавшую атакующему похитить либо удалить электронную переписку, и вдобавок создавать манипуляции с учетными записями пользователей Гугл Plus и YouTube.

Как сказал представитель компании в письме журналистам Threatpost, брешь затрагивала разработчиков, применяющих инструмент Гугл API Explorer для совершения определенных действий. Сервис разрешает осуществлять сотрудничество с разными интерфейсами Google, а также просматривать дешёвые способы, поддерживаемые параметры, совершать аутентифицированные API-звонки, и вдобавок делать запросы для любого способа в настоящем времени.

В первый раз об уязвимости сказал исследователь безопасности Паулос Йибело (Paulos Yibelo), которому потом Гугл выплатила $1 337 в качестве приза за обнаружение бреши. Clickjacking-атака разрешает преступнику выполнить клик на сайте-жертве от имени визитёра. Как заявили в Гугл, масштаб неприятности относительно мал, но согласно точки зрения Йибело, брешь угрожает, в особенности в случае если учесть, что затронуты все продукты компании, а также Gmail, Календари, Гугл Play, YouTube, AdSense и другие сервисы.

По словам эксперта, чтобы выполнить воздействие, жертве достаточно кликнуть на единственную кнопку. Но построение страницы - процесс не настолько простой и потребует знания формата CSS. Главная новая идея эксплоита заключается в создании прозрачного фрейма страницы с кнопкой. К примеру, преступник может обманом вынудить пользователя щелкнуть на особую кнопку, скрытую за iFrame. Наряду с этим жертва будет думать, что регистрируется для получения бесплатного подарка либо награды.

Успешное исполнение атаки зависит от нескольких факторов. К примеру, жертва должна иметь авторизованный доступ к Гугл API, скажем, через YouTube либо Blogger. Потом хакеру потребуется заманить ее на web-сайт, на котором размещается clickjacking-эксплоит. При успеха, атакующий возьмёт возможность создавать манипуляции с учетной записью пользователя в YouTube, удалять блоги, додавать комментарии, прочитывать и удалять электронную переписку либо взаимодействовать с аккаунтом Гугл Plus.