Google+ログイン用のメールアドレスを簡単に盗むことが出来るバグが存在していたことが明らかに

By ntr23

オンラインマーケティング企業のDistilledでコンサルタントを務めるトム・アンソニーさんが、Google+のアカウントでログイン時に使用しているメールアドレスを盗み見ることができるバグを発見しました。

Google Exploit - Steal Account Login Email Addresses Tom Anthony
http://www.tomanthony.co.uk/blog/google-exploit-steal-login-email-addresses/


アンソニーさんは、自身の勉強と、Googleのセキュリティホールを報告した際にもらえる報奨金のために、しばしばGoogleのバグ探しを行っているそうです。彼はこれまでにもバグを報告したことがあったそうですが、今回発見したものはとてもシンプルながら簡単に悪用できるものであったそうです。

Google+の各アカウントには固有のIDが割り振られており、例えば以下のアカウントは、URLの「103112588675637065591」部分にIDがそのまま入っています。

Fred Wilson - Google+
https://plus.google.com/103112588675637065591/posts

アンソニーさんのアカウントURLには直接IDが入ってはいないのですが、アンソニーさんのユーザー名にマウスオーバーしたり、リンクのURLをコピーすれば簡単にIDが「114756468015607312300」であることが分かります。


なお、Google+ページのソースでIDを見れば「id="(アンソニーさんのID)"」もしくは「oid="(アンソニーさんのID)"」といった形でIDがソースに書き込まれまくっていることも分かります。

Tom Anthony - Google+
https://plus.google.com/+TomAnthony/posts

バグを使って他人のGoogle+アカウントのログインメールアドレスを抽出する方法は非常に簡単で、「https://www.google.com/settings/dashboard」に「?uq=アドレスを知りたい相手のGoogle+ID」を付け足して他人のダッシュボード(現在は自分のアカウントのダッシュボードにリダイレクトされるようになっている)にアクセス。するとログイン画面が開きます。


ここに自分のGoogleアカウントのログイン情報を入力してログインすると、こんな感じで「開こうとした他人のアカウント名+メールアドレス」と「自分のアカウント名+メールアドレス」が表示され、他人のGoogle+アカウントで使用しているメールアドレスが簡単に盗めるようになっていたようです。


なお、バグを発見したアンソニーさんは、3月4日にこのバグをGoogleに報告し、7日にはバグ修正の報告を受け取ったそうです。

・関連記事
GoogleはGmailの中身を読むことはビジネスとして当然の行為であると裁判で主張 - GIGAZINE

Gmailの新しいタブUIはメールの開封率にどのような影響を与えたか? - GIGAZINE

Google ChromeのシークレットモードからGmailやFacebookのパスワードを抜き出す方法 - GIGAZINE

スマートフォン・Gmail・Skypeなどの盗聴・監視システム販売企業を検索可能なサイト「The Spy files」 - GIGAZINE

メールアドレスを知らないGoogle+のユーザーにGmailを送信できる機能が追加される - GIGAZINE

78

in ネットサービス,  メモ, Posted by logu_ii