Säkerhetsbrist i Google kan användas för nätfiske

Eric Farraro har upptäckt en säkerhetsbrist i Google Public Service Search. Public Service Search tillåter bland annat att vem som helst kan skapa ett egendesignat sidhuvud och sidfot till det vanliga sökresultatet. Det Eric upptäckte var att man i sidfoten kan infoga JavaScript eller CSS-kod och på så sätt manipulera den vanliga sidan.

Med lite JavaScript lyckades Eric först dölja hela den ursprungliga Google-sidan och därefter lägga upp egen html-kod. Han valde att göra imitation av Gmail med en vanlig inloggningsruta. På detta sätt kan besökaren luras att tro att det är Google som står bakom sidan. Men fyller man i inloggningsrutan visar det sig att användarnamnet och lösenordet istället skickas till Erics egen sida.

Som tur är verkar Eric Farraro vara en god människa. Han har notifierat Google om problemet och lovar att han inte lagrar några användarnamn och lösenord.

Så här ser Eric Farraros fejkade sida ut

Google Plus

Än så länge fungerar forfarande den fejkade sidan GooglePlus. Som synes ligger den på Googles egen domän, vilket innebär att den ser helt äkta ut.

Uppdatering: Google har gjort en tillfällig lösning för att komma till rätta med problemet.

Andra bloggar om: , ,

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

%d bloggare gillar detta: