Categorie
Hacking News

Un Gadgets di Google per rubare password

 

 

emgent di backtrack|it fa vedere un Google Gadgets in azione.
La vulnerabilità stà nel fatto che è possibile aggiungere un proprio widgets che lavora su un dominio esterno senza l’autorizzazione di Google.

L’attacco mostrato nel video può essere utilizzato anche per rubare i cookie, avviare Javascript sulla macchina vittima e potrebbe anche essere utilizzato per creare un vero e proprio Worm che gira su gmail.
Proprio quando stiamo scrivendo questo articolo, abbiamo trovato una references simile riportata nel 2007 da Tom Stracener e Robert Hansen.

Comunque l’infrastruttura di google è cambiata dal 2007, sembra che nuove varianti di attacchi siano diventate oggi possibili. La mail di notifica del bug di Emgent, inviata più di un mese fa, è stata ignorata.

La soluzione? Siate ancora più vigili!
Guardate il video d’esempio:

(Articolo tradotto da: http://www.offensive-security.com/backtrack/malicious-google-gadgets-in-action/)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.