PANews, 17 Nisan'da Bitcoin.com raporlara göre, ENS'nin baş geliştiricisi Nick Johnson'ın, Google'ın sistemlerindeki güvenlik açıklarından, özellikle de yakın zamanda düzeltilen OAuth güvenlik açığından yararlanan karmaşık bir kimlik avı saldırısını ortaya çıkardığını bildirdi. Johnson'a göre, saldırganlar ilk olarak Google'ın hukuk departmanından geliyormuş gibi görünen sahte bir e-posta gönderdi ve alıcının hesabının bir mahkeme celbi soruşturmasına dahil olduğunu iddia etti. Bu e-postalar gerçek DKIM ile dijital olarak imzalanır ve Google'ın resmi yanıtsız alanından gönderilir, böylece Gmail'in spam filtrelemesini kolayca atlayabilirler. Johnson, dolandırıcılığın güvenilirliğinin, sahte bir destek portalına sites.google.com bir köprü ile büyük ölçüde artırıldığını belirtti. Bu sahte Google giriş sayfası, iki önemli güvenlik açığını ortaya çıkarır: birincisi, Google Sites platformu, suçluların kimlik bilgilerini çalan sayfalar oluşturmasına izin vererek rastgele komut dosyalarının yürütülmesine izin verir; İkincisi, OAuth protokolünün kendisinin kusurlu olmasıdır.
Johnson, Google'ın güvenlik açığına ilişkin ilk görüşünü "tasarım gereği beklendiği gibi" olarak kınadı ve güvenlik açığının ciddi bir tehdit oluşturduğunu vurguladı. Daha da kötüsü, sahte portallar, sites.google.com'nin güvenilir alan adını bir kapak olarak kullanır ve kullanıcıların uyanıklığını büyük ölçüde azaltır. Ayrıca, Google Sites'ın kötüye kullanım bildirim mekanizması mükemmel değildir, bu da yasa dışı sayfaların zamanında kapatılmasını zorlaştırır. Kamuoyu baskısı altında, Google sonunda bir sorun olduğunu kabul etti. Johnson daha sonra Google'ın OAuth protokolündeki bir kusuru düzeltmeyi planladığını doğruladı. Güvenlik uzmanları, kullanıcılara dikkatli olmalarını, beklenmedik yasal belgelerden şüphelenmelerini ve kimlik bilgilerini girmeden önce URL'nin gerçekliğini dikkatlice doğrulamalarını hatırlatır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
ENS'nin baş geliştiricisi, kimlik avcılarının Google'ın resmi uyarılarını taklit etmesine olanak tanıyan bir güvenlik açığını ortaya çıkardı
PANews, 17 Nisan'da Bitcoin.com raporlara göre, ENS'nin baş geliştiricisi Nick Johnson'ın, Google'ın sistemlerindeki güvenlik açıklarından, özellikle de yakın zamanda düzeltilen OAuth güvenlik açığından yararlanan karmaşık bir kimlik avı saldırısını ortaya çıkardığını bildirdi. Johnson'a göre, saldırganlar ilk olarak Google'ın hukuk departmanından geliyormuş gibi görünen sahte bir e-posta gönderdi ve alıcının hesabının bir mahkeme celbi soruşturmasına dahil olduğunu iddia etti. Bu e-postalar gerçek DKIM ile dijital olarak imzalanır ve Google'ın resmi yanıtsız alanından gönderilir, böylece Gmail'in spam filtrelemesini kolayca atlayabilirler. Johnson, dolandırıcılığın güvenilirliğinin, sahte bir destek portalına sites.google.com bir köprü ile büyük ölçüde artırıldığını belirtti. Bu sahte Google giriş sayfası, iki önemli güvenlik açığını ortaya çıkarır: birincisi, Google Sites platformu, suçluların kimlik bilgilerini çalan sayfalar oluşturmasına izin vererek rastgele komut dosyalarının yürütülmesine izin verir; İkincisi, OAuth protokolünün kendisinin kusurlu olmasıdır. Johnson, Google'ın güvenlik açığına ilişkin ilk görüşünü "tasarım gereği beklendiği gibi" olarak kınadı ve güvenlik açığının ciddi bir tehdit oluşturduğunu vurguladı. Daha da kötüsü, sahte portallar, sites.google.com'nin güvenilir alan adını bir kapak olarak kullanır ve kullanıcıların uyanıklığını büyük ölçüde azaltır. Ayrıca, Google Sites'ın kötüye kullanım bildirim mekanizması mükemmel değildir, bu da yasa dışı sayfaların zamanında kapatılmasını zorlaştırır. Kamuoyu baskısı altında, Google sonunda bir sorun olduğunu kabul etti. Johnson daha sonra Google'ın OAuth protokolündeki bir kusuru düzeltmeyi planladığını doğruladı. Güvenlik uzmanları, kullanıcılara dikkatli olmalarını, beklenmedik yasal belgelerden şüphelenmelerini ve kimlik bilgilerini girmeden önce URL'nin gerçekliğini dikkatlice doğrulamalarını hatırlatır.