Gevaarlijk foutje in domein Google

Er zit een gevaarlijke bug in de websites van Google waardoor een hacker gemakkelijk een nep-Gmail pagina kan creëren om gebruikers in de val te lokken.Adrian Pastor van het "GNUCitizen ethical hacking collective" heeft een proof-of-concept (PoC) gemaakt van een exploit die een lek in het google.com domein misbruikt. Door de exploit kan hij externe code in een Google-pagina zetten. Hij kan daarna gemakkelijk een frauduleuze Gmail inlog-pagina maken waarboven in de statusbalk van de browser de url mail.google.com is te zien. Een bezoeker kan daardoor niet zien of hij een echte of een frauduleuze pagina bezoekt.

Het lek werd in april ontdekt door de beveiligingsonderzoeker Aviv Raff. Hij meldde het lek aan de beveiligingsafdeling van Google. Het lek zag er in het begin onschuldig uit. Raff zag een ontwerpfoutje in het domein van google.com waardoor iemand via het Google Maps subdomein toegang kan krijgen tot Maps, Calendar, Gmail en andere webdiensten.

Het foutje bleek echter niet zo onschuldig te zijn. Met het "kleine" XSS (cross-site scripting) lek kan een hacker Google, Gmail en andere Google Apps "overnemen" door de "Same Origin Policy" van een browser te omzeilen. Een hacker kan een gebruiker naar een frauduleuze webpagina lokken zonder dat de browser dit ziet en ertegen kan waarschuwen. Het is dan voor een hacker een peuleschil om de login-informatie van een gebruiker te stelen.


Bron: The Register