Перейти к содержанию

Уязвимость в Календаре Google предоставляет возможность для фишинга


Рекомендуемые сообщения

Наряду с Gmail и Google Drive, компания Google предлагает своим пользователям сервис Google Календарь, предназначенный для планирования встреч, событий и дел. Напоминания о событиях можно получать по электронной почте и с помощью Push-уведомлений. В сервисе предусмотрена функция, которая автоматически добавляет в Календарь различные события, содержащиеся в теле письма. Эксперты Black Hills Information Security (BHIS) обнаружили интересную уязвимость, позволяющую обойти защиту и добавить событие в календарь без отправки электронного письма с помощью инструмента MailSniper.

7d886463254a3a07c2d93defcaf118d1.jpg.1bec96a97216eeec83825ddb83ceb6f7.jpg

Как полагают исследователи, данная уязвимость, получившая название Event Injection, предлагает новую возможность для фишинга. По словам специалистов, если аккаунт Google привязан к телефону жертвы, возможно сгенерировать уведомление о событии, которое отобразится непосредственно на устройстве, и будет отправлено в электронном письме. В рамках эксперимента исследователи создали событие якобы об общем корпоративном собрании, которое состоится чрез 10 минут. В тело события эксперты добавили ссылку на повестку дня, с которой должен ознакомиться каждый сотрудник.

В действительности ссылка вела на фальшивую страницу авторизации Google, где пользователям требовалось ввести свои учетные данные для того, чтобы получить доступ к информации. Как отметили исследователи, данный метод оказался весьма успешным. Для эксплуатации уязвимости сотрудники BHIS модифицировали инструмент MailSniper, добавив несколько новых модулей. Первый метод эксплуатации (Invoke-InjectGEvent) предполагает наличие учетных данных к аккаунту Google, второй (Invoke-InjectGEventAP) – предусматривает подключение непосредственно к Google API. Подробное описание обоих методов  доступно в блоге исследователей.

Эксперты проинформировали Google об уязвимости 9 октября нынешнего года. 17 октября компания выпустила обновление, в котором были добавлены настройки, предотвращающие внедрение события в Календарь.

MailSniper – инструмент для поиска определенных терминов (паролей, внутренней информации, данных об архитектуре сети и пр.) в корпоративных или обычных электронных письмах. Также может использоваться администраторами сервиса Microsoft Exchange для просмотра почтовых ящиков любого пользователя в домене.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...