Novas soluções de armazenamento híbrido
Os atacantes podem facilmente criar scripts de terceiros para imitar Google para enganar os usuários a concessão de autorização para as suas contas de e-mail, diz chap infosec Andrew Cantino.
O engenheiro disse Mavenlink Mountain View não deixa suficientemente claro quando os usuários foram aprovar o acesso de terceiros aos seus dados, tornando ataques de engenharia social fácil.
"Uma pessoa mal-intencionada pode fazer uma [Google] Apps Script que executa quase qualquer ação contra os dados do Google de um usuário, em seguida, compartilhar o link com a aparência de uma ferramenta útil", disse Cantino.
"Desde que a URL será script.google.com, parece legítimo e até mesmo os usuários mais experientes provavelmente vai ser enganado.
"Meu script em particular, na verdade, só faz uma nova etiqueta Gmail, mas poderia ter os dados apagados, por e-mail um link para o script para todos na lista de contatos do usuário, informações pessoais manipulados, ou dados roubados e enviados para um terceiro."
Prova de conceito app Andrew Cantino
Ele disse que o Google "em nada" deixou claro que seu aplicativo foi o produto de um terceiro, acrescentando que Mountain View não tinha a intenção de consertar o que ele disse foi uma falha.
A empresa tomou a sua sugestão "em consideração", mas não considerá-la como uma vulnerabilidade técnica.
Cantino criou um app apelidado de "Google Segurança Upgrader" para demonstrar como crackers poderiam comprometer contas do Google sem ser sinalizado como um terceiro. Google fez, como ele faz para sua plataforma Android, mostra as permissões que um determinado aplicativo haviam procurado - que incluiu ações como a capacidade de visualizar e gerenciar e-mail.
Cantino argumentou que o uso do 'accounts.google.com' URL adicionado à legitimidade de aplicações maliciosas falsas.
Ele disse que o Google deve, no mínimo, avisar os usuários de que um determinado aplicativo era um produto de terceiros quando solicitado permissões, e notou a ironia de seu e-mail enviado após a instalação explicando que o usuário tinha instalado um aplicativo de terceiros.
"Como é, eu sinto que é razoável esperar que os usuários entendessem a possibilidade de que o código malicioso pode ser executado enquanto permanece inteiramente dentro do domínio do Google." ®
Nenhum comentário:
Postar um comentário