Google's webdiensten al sinds April 2008 kwetsbaar voor vervalsing
…. Onder meer Gmail kampt met een aantal flinke beveiligingsproblemen die het voor hackende phishers mogelijk maakt om valse inlogpagina's te creëren.
Met behulp van dit soort pagina's is het mogelijk om de inloggegevens van Gmail-gebruikers te stelen. De problemen blijven echter niet beperkt tot Gmail, ook de inlogpagina's van Google Kalender en andere diensten van Google zijn op dezelfde manier te vervalsen. Beveiligingsexpert Adrian Pastor, van de GNUCitizen ethical hacking collective heeft deze kwetsbaarheden bekendgemaakt aan de hand van een proof-of-concept (PoC) aanval. …
Het betreft hier dus een vorm van ‘ethical hacking’ oftewel het hacken van in dit geval de Google omgeving om de kwetsbaarheid aan te tonen en openbaar te maken.
Op zich goed, maar daarmee is aangetoond dat het kan in de hoop dat zoiets z.s.m. opgelost gaat worden, maar ….
… Het wrange aan dit verhaal is dat onderzoeker Aviv Raff de kwetsbaarheid al eerder dit jaar had ontdekt en in april al aan Google had gemeld. Volgens Raff bevatte het gehele google domein een ontwerpfout die ervoor zorgde dat de maps, kalenders en andere applicaties benaderd konden worden via verschillende subdomeinen van google.com. …
Toch wel onhandig als bijvoorbeeld ook uw wachtwoord en daarmee informatie al enige tijd op straat ligt … aan de andere u wist toch dat u een beta versie gebruikte zonder enige vorm van garantie (item 15) ?
Comments