USD 66.5 ЕВРО 75.62

Google не будет исправлять уязвимость страницы входа в систему, которая может привести к загрузке вредоносного ПО

Экономика

Компания сообщила, что возможная проблема безопасности ограничивается доменами Google.

Google заявила, что она не будет исправлять уязвимость безопасности, которая позволяет обманным путем заставить пользователя загрузить вредоносные программы из окна входа в систему.

Компания сказала исследователю безопасности Айдану Вудсу, что «было принято решение не рассматривать» найденный им баг в качестве уязвимости.
Вудс объяснил в своем блоге, что экран логина Google позволяет приложению или сервису перенаправить пользователя на страницу после того, как он вошел в систему.
Теоретически, злоумышленник может обмануть пользователя, заставив его кликнуть по ссылке, ведущей на файл вредоносной программы.
Однако Google утверждает, что страница переадресации должна находиться в пределах доменов «* google.com», что ограничивает влияние уязвимости.
Проблема в том, говорит Вудс, что вредоносные программы, размещенные на «drive.google.com» или «docs.google.com», которые находятся в пределах параметров поддоменов Google, по-прежнему могут быть использованы для установки вредоносных программ, и скрывать это за подлинной страницей входа в систему Google.
Поисковый гигант ответил Вудсу: «Только первые сообщения о технических уязвимостях в системе безопасности, которые существенно влияют на конфиденциальность или целостность данных наших пользователей, находятся в области действия программы по нахождению уязвимостей, и мы считаем, что упомянутый вами вопрос не соответствует данным критериям».
Вудс, полагая, что Google не в полной мере осознает проблему, опубликовал электронную переписку в своем блоге.