2016/10/27

Páginas de login da Google facilitam ataques de phishing


O acesso a uma conta Google é algo que é crítico para a maioria dos utilizadores, mas há quem aponte para uma potencial falha nas páginas de login, que a Google parece não considerar um risco.

A Google muito tem investido na segurança, sendo que para além da altamente recomendável utilização do sistema de validação 2-step também alerta os utilizados no caso de logins a partir de sites desconhecidos ou considerados estranhos. No entanto, há um pequeno pormenor que pode ser explorado e que torna todo o sistema vulnerável a potenciais ataques de phishing. Ora vejam o seguinte caso:

Um utilizador clica num link para aceder a um documento partilhado do Google Drive, confirma que o endereço é o oficial e está a usar https, introduz o seu nome, introduz a password, vê surgir uma página que lhe diz que a password está errada e para a reintroduzir... e pronto, não é preciso mais que isso, já deu a password ao atacante.

O pormenor em questão é do de que as páginas de login da Google permitem passar um parâmetro no url que indica qual a página para a qual devem ir a seguir ao processo de login.


A Google faz uma validação de forma a não permitir o redireccionamento para fora de sites "google.com", mas o problema é que existem mil e uma formas de alojar conteúdos potencialmente perigosos dentro dos seus domínios, como formulários no Google Docs, ficheiros no Google Drive, entre outros (incluindo o download directo de ficheiros executáveis).

Um atacante pode enviar um link de login da Google que redireccione para uma dessas páginas, onde apresente a mensagem de um qualquer problema no login e que peça que o utilizador reintroduza os seus dados; e não me parece difícil que uma boa parte das pessoas caísse na ratoeira acima descrita - para não falar daqueles que se arriscassem a clicar num ficheiro executável que pensariam estar a ser enviado pela Google para uma qualquer actualização...


Do lado da Google, desvalorizam esta situação dizendo que não a consideram uma vulnerabilidade (e é fácil perceber porquê: obrigaria a uma monumental tarefa de reformular todo o sistema de login e a destruir a compatibilidade com sabe-se lá quantos serviços)... Mas do nosso lado, há que estar atento para esta potencial vertente de ataque, e ter sempre muito cuidado com páginas suspeitas que possam aparecer após qualquer login nos serviços Google.

Sem comentários:

Enviar um comentário (problemas a comentar?)