Google weigert potentieel login-lek te dichten
Veiligheidsonderzoeker Aidan Woods beschuldigt Google van nalatigheid. De man had een lek gerapporteerd aan de zoekgigant waardoor het mogelijk is om mensen via het inlogvenster van Google om de tuin te leiden en malware te laten installeren. Het bedrijf is echter van oordeel dat er geen gevaar dreigt.
Het probleem is het volgende: Woods stelt dat de loginpagina van Google kan misbruikt worden, omdat het voor apps of internetdiensten mogelijk is om personen om te leiden naar een nieuwe pagina nadat ze zijn ingelogd. Die nieuwe pagina zou in theorie ook malware kunnen zijn, als een hacker het handig aanpakt. De omleiding is mogelijk naar alle url’s, zolang deze maar beginnen met www.google.com. Dit laat toe om iemand naar een phishingwebsite te leiden en informatie te ontfutselen, maar via een dienst als Google Drive kan een cybercrimineel zo ook rechtstreeks malware injecteren.[related_article id=”179665″]
Afgewezen
Aidan Woods diende zijn ontdekking in bij Google voor het beloningsprogramma dat het bedrijf heeft opgezet voor gebruikers die gevaarlijke bugs rapporteren, maar het bedrijf heeft hem laten weten dat ze de kwetsbaarheid niet zullen opvolgen. Volgens het bedrijf heeft Woods geen bug ontdekt, enkel een kans voor phishers om hun slag te slaan. “We investeren al in technologie om phishing op te sporen en gebruikers te waarschuwen,” aldus het bedrijf in een e-mail aan de veiligheidsonderzoeker.
Woods diende verschillende rapporten in over de kwetsbaarheid. Na de derde afwijzing van Google koos hij ervoor om de mogelijke exploit openbaar te maken op zijn website, in de hoop het bedrijf toch aan te zetten om er iets aan te doen.
