Система авторизации, используемая в интернет-сервисах технологического гиганта Google, содержит одну крайне опасную с точки зрения возможного фишинга особенность, пишет издание Business Insider, ссылающееся на исследование известного эксперта в области сетевой безопасности, Эйдана Вудса, обнаруженная которым уязвимость может применяться хакерами в целях получения пользовательской аутентификационной информации, в частности, пароля.

 

Все дело в параметре "continue", который содержится в адресе авторизационной страницы. Параметр позволяет подставлять любые страницы, в URL которых есть символы "google.com". Таким образом, киберзлоумышленники могут сформировать особую ссылку, перенаправляющую пользователей на, например, вредоносный файл, загруженный в Google Docs или Google Drive.

 

А для того, чтобы подверженный такой атаке пользователь наверняка установил себе зловредное приложение, ссылку можно снабдить фишинговым текстом, что и продемонстрировал в рамках эксперимента исследователь.

 

Представители корпорации Google пока что никак не прокомментировали обнаруженную уязвимость, чем лишь дают, как считает Эйдан Вудс, хакерам фору.