As preocupações da Google no campo da segurança são elevadas. Todos os seus serviços assentam em mecanismos de autenticação seguros e com as mais recentes técnicas de protecção.
Mas uma nova falha foi descoberta, que pode quebrar esta segurança. O problema maior é que a Google se recusa a resolver este problema.
A falha foi encontrada pelo investigador Aidan Woods, que no seu site a revelou e detalhou. Segundo Woods o simples adicionar de um parâmetro na página de autenticação da Google redirecciona os utilizadores para sites pouco fidedignos.
Um qualquer atacante pode enviar a um utilizador um endereço contruído para levar o utilizador a autenticar-se e depois ser redireccionado para uma página que entende ser segura e que na verdade o pode infectar com malware ou outro qualquer tipo de vírus.
O processo está explicado num vídeo e foi apresentado à Google há algum tempo, tendo sido dado tempo para a gigante das pesquisas o resolver.
A resposta da Google
O problema maior é que a Google não reconhece este problema como uma falha e está a recusar-se a resolvê-la. Segundo a Google, este é o comportamento esperado e a forma de trazer o utilizador de volta ao site que levou à autenticação.
Like many account-based services, we’ve enabled these redirects, in part, to provide a simple sign-in experience across sites that also avoids unnecessary friction. In our case, a user may navigate to a site where they can log in with their Google credentials, sign in to their account, and finally be redirected back to the same page they were on initially. In parallel, we’re constantly striving to protect users from phishing and other security risks with a variety of safety measures, including Safe Browsing, two-factor authentication, and more.
Após a apresentação desta falha, vários outros investigadores contactaram Aidan Woods revelando que já a tinham apresentado à Google e que a resposta da empresa tinha sido a mesma.
É importante ter cuidado com os links que são recebidos por email e também com a forma que se acede aos mecanismos de autenticação. Uma simples distracção pode comprometer os dados dos utilizadores.