ในช่วงไม่กี่วันที่ผ่านมา มีการเปิดเผยช่องโหว่ด้านความปลอดภัยหลายครั้งในวงกว้าง ของผลิตภัณฑ์ของ Google รวมถึงปัญหาการโจรกรรมอีเมลอย่างต่อเนื่องซึ่งส่งผลต่อบริการ GMail ที่ใช้กันอย่างแพร่หลาย
รูปแบบการรักษาความปลอดภัยของ Google ไม่ค่อยทนต่อการตรวจสอบจากแฮกเกอร์
ในช่วงไม่กี่วันที่ผ่านมาก็มี การเปิดเผยหลายครั้ง ของช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ต่างๆ ของ Google รวมถึงปัญหาการโจรกรรมอีเมลอย่างต่อเนื่องซึ่งส่งผลต่อบริการ GMail ที่ใช้กันอย่างแพร่หลาย
ที่ ข้อผิดพลาด GMail ที่ยังไม่ได้รับการแก้ไขซึ่งแสดงให้ฉันเห็นโดยแฮ็กเกอร์ Petko D. Petkov น่ารังเกียจอย่างยิ่งเนื่องจากวิธีการหาประโยชน์ทำงานโดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ และความจริงที่ว่าเป็นเรื่องยากสำหรับผู้ใช้ GMail โดยเฉลี่ยที่จะรู้ว่าอีเมลกำลังถูกขโมย
เหยื่อเข้าชมเพจขณะลงชื่อเข้าใช้ GMail เมื่อดำเนินการแล้ว เพจจะดำเนินการ
ปัจจุบัน ตราบใดที่เหยื่อมีตัวกรองอยู่ในรายการตัวกรอง แม้ว่า Google จะแก้ไขช่องโหว่ในช่วงแรกซึ่งเป็นสาเหตุของการแทรกซึมก็ตามmultipart/form-dataPOSTไปที่หนึ่งในอินเทอร์เฟซ GMail และแทรกตัวกรองลงในรายการตัวกรองของเหยื่อ ในตัวอย่างด้านบน ผู้โจมตีเขียนตัวกรอง ซึ่งจะค้นหาอีเมลพร้อมไฟล์แนบและส่งต่อไปยังอีเมลที่ต้องการ ตัวกรองนี้จะถ่ายโอนอีเมลทั้งหมดที่ตรงกับกฎโดยอัตโนมัติ โปรดทราบว่าอีเมลในอนาคตจะถูกส่งต่อเช่นกัน การโจมตีจะยังคงอยู่
เทคนิคการโจมตีเรียกว่า การปลอมแปลงคำขอข้ามไซต์ (CSRF) และเคยหลอกหลอน Google มาก่อน เมื่อต้นปีที่ผ่านมา บริษัทถูกบังคับให้แก้ไขข้อบกพร่องที่คล้ายกัน หลังจากมีรายละเอียดหลุดออกมา ในประเด็นที่ทำให้รายชื่อผู้ติดต่อของ GMail ตกอยู่ในความเสี่ยง
ผู้ใช้ Google Search Appliance ที่มีความเสี่ยง:
นักวิจัยด้านความปลอดภัยชาวโรมาเนียอีกรายหนึ่งได้เผยแพร่รายละเอียดเกี่ยวกับจุดบกพร่องของสคริปต์ข้ามไซต์ที่ส่งผลกระทบต่อผู้ใช้ Google Search Appliance ที่ใช้งานระดับองค์กรMustlive แฮกเกอร์ผู้อยู่เบื้องหลัง เดือนแห่งข้อบกพร่องของเครื่องมือค้นหา โครงการเผยแพร่ก พิสูจน์แนวคิด และก Google ดาร์ก เพื่อสาธิตการโจมตี -- และเปิดเผยธุรกิจต่างๆ โดยใช้ Search Appliance
ช่องโหว่การสำรวจความคิดเห็นของ Google (Blogspot)
ประเด็นที่สามได้รับ เปิดเผยที่ Beford.org เพื่อแสดงให้เห็นว่าข้อบกพร่องของสคริปต์ข้ามไซต์ใน Blogspot Polls ของ Google สามารถทำให้เกิดการขโมยข้อมูลที่ละเอียดอ่อนได้อย่างไร
พารามิเตอร์ 'font' ไม่ได้ถูกทำความสะอาดก่อนที่จะใช้งานภายในแท็ก STYLE ดังนั้นคุณจึงสามารถแทรก expression ของ IE () และ -moz-binding ของ Mozilla ได้
ข้อพิสูจน์แนวคิดหลายประการ -- อันนี้แย่งชิงรายชื่อติดต่อ Google ของคุณ, อันนี้ สกัดกั้น GMail ขาเข้า -- เป็นที่เปิดเผยต่อสาธารณะ (โน๊ตสำคัญ: การคลิกลิงก์เหล่านั้นในขณะที่ลงชื่อเข้าใช้บัญชี Google อาจไม่ใช่ความคิดที่ดีนัก)
การใช้ประโยชน์จาก Picasa
ซอฟต์แวร์แบ่งปันรูปภาพ Picasa ของ Google และบริการบนเว็บยังมีความเสี่ยงต่อสถานการณ์การหาประโยชน์โดยใช้การผสมผสานของ การเขียนสคริปต์ข้ามไซต์ การปลอมแปลงคำขอข้ามแอปพลิเคชัน และความอ่อนแอของตัวจัดการ URI เพื่อขโมยรูปถ่ายจากฮาร์ดของเหยื่อ ขับ.
รายละเอียดทางเทคนิคของปัญหา Picasa ได้รับการเผยแพร่โดย Billy Rios และ Nate McFeters.
สุดท้ายนี้ มีข้อบกพร่องด้านสคริปต์ข้ามไซต์ในบริการ Urchin Analytics ของ Google ซึ่งสามารถนำไปใช้ประโยชน์เพื่อขโมยข้อมูลรับรองผู้ใช้ได้ หนึ่ง คำอธิบายเกี่ยวกับช่องโหว่นี้ ได้รับการตีพิมพ์โดย Adrian Pastor