Gepatchte Sicherheitslücke in der Passwortwiederherstellung von Google-Accounts – neue Details

Die letzten Patches von Google enthielten die Korrektur einer ernsthaften Sicherheitslücke im Passwort-Wiederherstellungssystem von Gmail-Accounts. Der israelische Experte Oren Hafifi wies in seiner Beschreibung des Problems darauf hin, dass das Google-Passwort die Tür zu weitaus mehr öffne als zum E-Mail-Account, was das Risiko noch erhöhe.

„Haben Sie sich jemals gefragt, wofür GMAIL steht? Es steht für Global Main Authentication and Identification Library (globale Authentifizierungs- und Identifizierungsbibliothek). Also im Ernst – wenn jemand Zugriff auf Ihren Gmail-Account erhält, so kann er sich mit Hilfe des Passwort-Wiederherstellungssystems seinen Weg durch jede beliebige Ihrer mobilen oder Web-Anwendungen bahnen“, schreibt Hafifi in seinem Blog.

“Hafifi kombinierte zur Umsetzung des Hacks die folgenden Techniken: Cross-Site-Scripting (XSS), Cross-Site Request Forgery (CSRF) und Password Flow Bypass.

Der Angriff beginnt mit einer angeblich von Google stammenden Phishing-Mail an einen Gmail-User mit gefälschter Absenderadresse. Hafifi erklärt in seinem Blog en Detail, wie die Attacke funktioniert, doch das Wichtigste daran ist, dass die Phishing-Mail so aufgebaut sein muss, dass die E-Mail-Adresse des Opfers in dem Link enthalten ist.

Zudem sollte der Link auf die Website des Cyberkriminellen verweisen, der die gefälschte Website übergreifende Anfrage (CSRF) stellt. Daraufhin wird eine Cross-Site-Scripting-Attacke durchgeführt und dem Anwender wird eine falsche Passwort-Reset-Option präsentiert.

„Der User klickt auf den Link zum Zurücksetzen des Passworts und danach haben Sie schlicht unbegrenzte Möglichkeiten“, schreibt Hafifi.

Sobald der User versucht, sein Passwort zurückzusetzen und den Zugriff auf das Nutzerkonto wiederherzustellen, erhält der Cyberkriminelle das neue Passwort und Informationen aus den Cookie-Dateien.

Hafifi erklärt, dass Google diese Sicherheitslücke 10 Tage nach ihrer Entdeckung geschlossen habe und er eine Belohnung und die erneute Aufnahme in Googles Ruhmessaal erwarte.

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.