Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord
abonneren

Gevaarlijk foutje in domein Google

Er zit een gevaarlijke bug in de websites van Google waardoor een hacker gemakkelijk een nep-Gmail pagina kan creëren om gebruikers in de val te lokken. Adrian Pastor van het "GNUCitizen ethical hacking collective" heeft een proof-of-concept (PoC) gemaakt van een exploit die een lek in het google.com domein misbruikt. Door de exploit kan hij externe code in een Google-pagina zetten.
Hij kan daarna gemakkelijk een frauduleuze Gmail inlog-pagina maken waarboven in de statusbalk van de browser de url mail.google.com is te zien. Een bezoeker kan daardoor niet zien of hij een echte of een frauduleuze pagina bezoekt.

Het lek werd in april ontdekt door de beveiligingsonderzoeker Aviv Raff. Hij meldde het lek aan de beveiligingsafdeling van Google. Het lek zag er in het begin onschuldig uit. Raff zag een ontwerpfoutje in het domein van google.com waardoor iemand via het Google Maps subdomein toegang kan krijgen tot Maps, Calendar, Gmail en andere webdiensten.

Het foutje bleek echter niet zo onschuldig te zijn. Met het "kleine" XSS (cross-site scripting) lek kan een hacker Google, Gmail en andere Google Apps "overnemen" door de "Same Origin Policy" van een browser te omzeilen. Een hacker kan een gebruiker naar een frauduleuze webpagina lokken zonder dat de browser dit ziet en ertegen kan waarschuwen. Het is dan voor een hacker een peuleschil om de login-informatie van een gebruiker te stelen.


Bron: The Register

Geschreven door: Redactie PCM op

Category: Nieuws, Algemeen

Tags:

Nieuws headlines

donderdag 30 november

donderdag 09 november

Laatste reactie