Googleがログインページの脆弱性を指摘されるも「問題なし」として放置することに決定

By Dan Century

セキュリティ専門家のエイダン・ウッズ(Aidan Woods)氏がGoogleのログインページからマルウェアに感染する恐れのある脆弱性を発見、Googleのセキュリティチームに報告したのですが、Googleから「セキュリティバグとして追跡しないことに決定しました」という返答があったことがウッズ氏のブログで報告されています。

Aidan Woods: Google's Faulty Login Pages
https://www.aidanwoods.com/blog/faulty-login-pages

Google won't fix login page flaw that can lead to malware download | ZDNet
http://www.zdnet.com/article/google-wont-fix-login-page-flaw-can-lead-to-malware-download/

Google refuses to patch faulty login page that can be used to serve up malware
http://www.neowin.net/news/google-refuses-to-patch-faulty-login-page-that-can-be-used-to-serve-up-malware

ウッズ氏が発見したGoogleのログインページの脆弱性は、Googleのアプリやサービスにログインした後に別のページにリダイレクトさせられるというもの。リダイレクトされるページは「google.com」のドメインの範囲内に限られますが、GoogleドライブやGoogleドキュメントなどにマルウェアを設置すれば、「drive.google.com」「docs.google.com」といったGoogleのサブドメイン下でマルウェアのダウンロードページを表示できるとのこと。

ウッズ氏はこの脆弱性を突けばマルウェアをダウンロードさせることや、Googleのログイン情報を盗み取ることができると主張しており、Googleのセキュリティチームにバグ報告を行いました。これを受けたGoogleはこの問題について調査しましたが、「オープンリダイレクターの仕組みで対処できているので問題ない」として特別な対処は行わない旨をウッズ氏へ返信。ウッズ氏はセキュリティ専門家として脆弱性が存在する状態で詳細を公開するべきか迷っていたものの、Googleの対応を「問題を正しく認識していない」と考え、情報公開によってGoogleが改めて問題に対処してくれることを期待してブログの公開に踏み切ったそうです。


ログインページからリダイレクトされる様子を再現したムービーは以下から見ることができます。

Google: Faulty Login Pages - YouTube


URLに「Googleドライブのファイルをダウンロードする」というパラメータ(export=download)を挿入したGoogleのログインページで、Googleアカウントのログイン情報を入力して「Login」をクリックすると……


ログインが完了すると自動的にGoogleドキュメントから複数のファイルのダウンロードが始まりました。悪意のあるアタッカーなら、このようにマルウェアをダウンロードさせることができうると、ウッズ氏は警告しています。

・関連記事
ウィザード級ハッカーが「バグハンター」として稼ぎつつGoogleやFacebookの個人情報漏洩を防ぎ続ける実態とは? - GIGAZINE

電話を利用してInstagram・Google・Microsoftからお金をむしり取る方法 - GIGAZINE

「悪魔のように賢い」とGoogleのエンジニアが舌を巻く「悪意あるハードウェア」が登場 - GIGAZINE

Google Chromeのデジタルコンテンツ保護機能に「保護されたコンテンツ」を保存可能なバグ - GIGAZINE

元Googleの中の人がハイテク企業がどうやって「ユーザーの心を乗っ取るのか」をタネ明かし - GIGAZINE

157

in ネットサービス,  セキュリティ, Posted by darkhorse_log