Эдриан Пастор из сообщества GNUCitizen заявил, что осуществив инъекции
фреймов и использовав существующие в домене Google уязвимости, хакер может
получить детали лога пользователей.
Пастор подробно
объяснил как создать такую поддельную страницу и рассказал, что техника
инъекции фреймов работает, если вставить URL стороннего сайта в параметр "targeturl"
адреса веб-сайта, вместо настоящей контактной страницы.
Он пояснил, что в домене Google существует уязвимость, делающая возможным
внедрение сторонними сайтами на страницы Google собственного контента, что
заставляет пользователя поверить в его аутентичность. В результате, пользователь
видит страницу авторизации Gmail, которая выглядит подлинной, вводит туда свое
имя пользователя и пароль, и, нажав кнопку "Подтвердить", отправляет эти данные
на сторонний ресурс, контролируемый хакером.
В ответ на представленный хакером рабочий пример реализации эксплоита в
Google заявили, что, несмотря на то, что продемонстрированная страница
действительно выглядит похожей на страницу авторизации Gmail, в ней, все же,
имеется несколько отличий. Так, например, адрес начинается с http, а не с https,
- а Gmail всегда использует SSL во время авторизации. Так же из верхней части
фрейма явствует, что страница отображена в результате поиска изображений, что
тоже может служить поводом для дальнейших подозрений.
В Google сообщили, что рассмотрят этот случай, но, тем не менее, в интервью
SCMagazineUS.com сочли нужным сообщить следующее: "Мы осознаем потенциал такого
рода атак при применении их к сервисам, предлагаемым одновременно через
множество доменов, и предпринимаем шаги по их запрету в тех местах, которые мы
считаем небезопасными".
