Neznámý útočník našel cestu, jak obejít zabezpečení Googlu. JakeSteam na Redditu popsal nový phishingový útok, který mohl zmást miliony uživatelů. Začalo to tím, že mu přišel e-mail tvářící se jako pozvánka k prohlížení dokumentu v Google Docs. E-mail by odeslán na adresu s doménou @mailinator.com, adresa oběti byla ve skryté kopii.
Po kliknutí na tlačítko Open in Docs se otevře okno pro výběr účtu s tím, že si jej žádá aplikace Google Docs. Pokud ale na odkaz Google Docs kliknete, uvidíte, že patří nějakému uživateli s adresou @gmail.com, není to aplikace @google.com. (Takový dokument by se navíc rovnou otevřel v oficiálních Google Docs.)
Když oběť vybere účet, bude muset ještě schválit oprávnění falešné aplikace Google Docs. Požaduje právo ke správě adresáře kontaktů a ke čtení, posílání a mazání e-mailů. Pokud to povolíte, falešná aplikace může rovnou stahovat vaše e-maily. Pokud máte na Gmail vedeny nějaké další účty, robot by mohl přes formuláře pro obnovu hesla získat přístup i do jiných služeb.
Pokud falešné Google Docs k sobě pustíte, aplikace přečte váš adresář a stejný e-mail pošle všem kontaktům. Takhle se stihne rozšířit hodně rychle. Postiženo mohlo být několik milionů účtů. Google už nicméně stačil útok zastavit a falešná aplikace by neměla možnost si o přístup k účtu říci.
Útočník přitom využil zcela legitimní prostředek – systém OAuth. Díky němu se můžete do služeb třetích stran zaregistrovat, aniž byste jim museli dávat heslo. Využije už hotový účet (třeba od Googlu). Obvykle ale tyto služby chtějí jen e-mailovou adresu, takhle si řekla o kompletní přístup do Gmailu.
PS: Na stránce https://myaccount.google.com/permissions si můžete zkontrolovat, které služby a aplikace mají k vašemu Google účtu přístup a co všechno mohou dělat. Pokud tam vidíte nějakou podezřelou, přístup ji odeberte.
https://twitter.com/googledocs/status/859895400173522944
d