Proponha uma correção, faça uma sugestão
Autenticação da Google tem falha grave que não será corrigida
As preocupações da Google no campo da segurança são elevadas. Todos os seus serviços assentam em mecanismos de autenticação seguros e com as mais recentes técnicas de protecção.
Mas uma nova falha foi descoberta, que pode quebrar esta segurança. O problema maior é que a Google se recusa a resolver este problema.
A falha foi encontrada pelo investigador Aidan Woods, que no seu site a revelou e detalhou. Segundo Woods o simples adicionar de um parâmetro na página de autenticação da Google redirecciona os utilizadores para sites pouco fidedignos.
Um qualquer atacante pode enviar a um utilizador um endereço contruído para levar o utilizador a autenticar-se e depois ser redireccionado para uma página que entende ser segura e que na verdade o pode infectar com malware ou outro qualquer tipo de vírus.
O processo está explicado num vídeo e foi apresentado à Google há algum tempo, tendo sido dado tempo para a gigante das pesquisas o resolver.
A resposta da Google
O problema maior é que a Google não reconhece este problema como uma falha e está a recusar-se a resolvê-la. Segundo a Google, este é o comportamento esperado e a forma de trazer o utilizador de volta ao site que levou à autenticação.
Like many account-based services, we've enabled these redirects, in part, to provide a simple sign-in experience across sites that also avoids unnecessary friction. In our case, a user may navigate to a site where they can log in with their Google credentials, sign in to their account, and finally be redirected back to the same page they were on initially. In parallel, we're constantly striving to protect users from phishing and other security risks with a variety of safety measures, including Safe Browsing, two-factor authentication, and more.
Após a apresentação desta falha, vários outros investigadores contactaram Aidan Woods revelando que já a tinham apresentado à Google e que a resposta da empresa tinha sido a mesma.
É importante ter cuidado com os links que são recebidos por email e também com a forma que se acede aos mecanismos de autenticação. Uma simples distracção pode comprometer os dados dos utilizadores.
Este artigo tem mais de um ano
Loading ...
Hoje em dia já se chama falha a tudo, mesmo quando não se trata disso…
E tem que ter um nome bonito.
se fosse uma falha da samsung ou apple jà era a gogle a matar…
já ía em 100 comentários
Mas não funcionam assim muitos dos processos de autenticação realizados em sites terceiros, como acontece com alguns de grandes responsabilidade em PT?
Nao e propriamente uma falha na autenticacao mas sim uma via para um possivel phishing…
Os sites funcionam todos assim…
Site com autenticacao por google / twitter / facebook…. y.com
Click para autenticar
Abrir site de autenticacao site.com?returnUrl=y.com
Devolver token the autenticacao e abrir y.com
Isto é o padrao para este tipo de autenticacao.
O bug reportado não usa “Return” usa “Continue” e faz uso de serviços da própria Google.
Lê o que o investigador publicou para perceber melhor como pode ser usado para phishing
Certo que eles podiam ter uma lista de sites seguros no redirector deles, mas quem é que no seu perfeito juízo clica num link que não sabe o que é ou de onde vem e enfia logo as suas credenciais.
Isso é fishing e contra isso a melhor protecção de todas é mesmo o utilizador.
Phishing depende sempre de enganar as pessoas a fazer o que não devem mas já passa a ser problemático se for possível usar os serviços do site legítimo para fazer construir o phishing pois ajuda a todo o disfarce e logro.
Não te tirando a razão, um link fraudulento dificilmente é passado a um utilizador de forma legitima.
Tudo depende da forma como é apresentado, mas como é óbvio isto não é o único passo para o phishing. Contudo o facto de o link parecer legítimo, por usar algo da Google, poderá ajudar muito no logro.
Muita boa gente.
Infelizmente ainda existem pessoas que o fazem. Como vêm que vem do Google é fidedigno logo pensam que podem seguir o link.
As pessoas não são todas iguais nem todas têm os mesmos tipos de conhecimentos.
a isto nao se chama phishing? que tem a google com isto?
todos os dias recebe spam da “apple”, “ctt”, “CGD”,”google docs”… todos eles sites de phishing…
os utilizadores é que têm de star atendos
pensava que era um problema de autenticaçao 2 passos que tinha falhas e não um esquema de phishing