Google dicht gat in de accountherstel-functie
Google heeft een ernstig beveiligingsgat in de accountherstel-functie van Google-accounts gedicht. Een aanvaller kon dankzij het lek met behulp van social engineering accounts van anderen overnemen.
Gebruikers die hun wachtwoord zijn vergeten kunnen deze met behulp van de feature herstellen. Hiervoor moeten gebruikers een aantal vragen over zichzelf beantwoorden. De antwoorden op deze vragen kan een aanvaller met behulp van social engineering achterhalen. De laatste stap van het proces bestaat uit een webpagina waarop de gebruiker zijn nieuwe wachtwoord moet invoeren.
Cross-Site Scripting-kwetsbaarheid
Onderzoeker Oren Hafif ontdekte dat de laatste stap van het proces een Cross-Site Scripting-kwetsbaarheid bevat. Aanvaller kunnen hierdoor een e-mail naar Google-gebruikers sturen waarin gebruikers worden gevraagd hun account te bevestigen. Zodra de gebruiker op de link klikt en zijn oude wachtwoord invoert heeft de aanvaller toegang tot het account.
De onderzoeker heeft een video gemaakt waarin hij de hack demonstreert.
