Inyección de frame explota falla de Google
La página de ingreso del correo de Google, Gmail puede ser imitada por un ataque de phishing, usando una técnica de inyección de frame y explotando una vulnerabilidad del dominio de Google.
Esta afirmación viene de Adrian Pastor de la colectividad de hacking ético GNUCitizen, quien desarrolló una prueba de concepto (PoC).
Pastor publicó el ejemplo de la PoC de inyección de frame contra Google en el blog de GNUCitizen. Explicó que la inyección de frame funciona insertando la URL de un sitio de terceros dentro del parámetro "targeturl" en la dirección del sitio web, en lugar de la página original del contacto.
En el ejemplo de la PoC contra Google, el resultado es una página de ingreso a Gmail que parece legítima y que puede ser usada para lanzar un ataque de phishing contra los usuarios. Cuando se completa el nombre de usuario y contraseña y el usuario hace clic en "enviar", sus credenciales van a la página de un tercero controlada por el atacante.
"El atacante se las arregla para mostrar una página de terceros no-legítima, en tanto el dominio legítimo (mail.google.com, en este caso) es mostrado en la barra de dirección," escribió Pastor en el blog. "Lo bello del ataque de inyección de frame es que el atacante es capaz de hacerse pasar por la entidad confiada sin necesidad de sobrepasar los filtros XSS/HTMLi ni tampoco irrumpir en el servidor destino."
El ejemplo de Pastor explota una aplicación web a través de dominios que comparten una falla de diseño de seguridad en el sitio de Google, la cual el investigador de seguridad Aviv Raff informó a Google en abril. En su blog, Raff explica que las aplicaciones de Google tales como Gmail, Google Maps, Imagenes y Noticias pueden ser accedidas a través de múltiples subdominios. Google News puede ser alojada en el subdominio Google Maps, por ejemplo.
El ejemplo de la PoC de inyección de frame aprovecha la vulnerabilidad de los dominios de Google Images y Google que permiten imitar una pagina que viene del dominio Gmail. Pastor le dijo a SCMagazineUS.com el lunes que aprovechando la ventaja del problema que a través de dominios se puede mostrar el dominio de Gmail, un atacante puede montar un ataque de phishing convincente contra los usuario de Gmail.
Aunque la página ejemplo de la PoC es similar a la página de ingreso de Gmail, unos pocos elementos la señalan como ilegítima. También, la parte superior del marco la identifica como una imagen resultado de una búsqueda, mostrando aun más sospechosa a la página, le dijo el lunes un portavoz de Google a SCMagazineUS.com.
Google dice que está consciente de este concepto y que si se convierte en un ataque real, Google tomará medidas para tratarlo.
"Estamos conscientes del potencial de este tipo de comportamientos cuando los servicios son alojados a través de múltiples dominios, y tomamos medidas para restringirlo en donde creemos que podría tener consecuencias de seguridad," dijo un portavoz a a SCMagazineUS.com el lunes.
Traducido para el Blog de Segu-Info por Raúl Batista
Fuente: http://www.scmagazineus.com/Frame-injection-exploits-Google-flaw/article/119412/
http://www.gnucitizen.org/blog/frame-injection-fun/
Esta afirmación viene de Adrian Pastor de la colectividad de hacking ético GNUCitizen, quien desarrolló una prueba de concepto (PoC).
Pastor publicó el ejemplo de la PoC de inyección de frame contra Google en el blog de GNUCitizen. Explicó que la inyección de frame funciona insertando la URL de un sitio de terceros dentro del parámetro "targeturl" en la dirección del sitio web, en lugar de la página original del contacto.
En el ejemplo de la PoC contra Google, el resultado es una página de ingreso a Gmail que parece legítima y que puede ser usada para lanzar un ataque de phishing contra los usuarios. Cuando se completa el nombre de usuario y contraseña y el usuario hace clic en "enviar", sus credenciales van a la página de un tercero controlada por el atacante.
"El atacante se las arregla para mostrar una página de terceros no-legítima, en tanto el dominio legítimo (mail.google.com, en este caso) es mostrado en la barra de dirección," escribió Pastor en el blog. "Lo bello del ataque de inyección de frame es que el atacante es capaz de hacerse pasar por la entidad confiada sin necesidad de sobrepasar los filtros XSS/HTMLi ni tampoco irrumpir en el servidor destino."
El ejemplo de Pastor explota una aplicación web a través de dominios que comparten una falla de diseño de seguridad en el sitio de Google, la cual el investigador de seguridad Aviv Raff informó a Google en abril. En su blog, Raff explica que las aplicaciones de Google tales como Gmail, Google Maps, Imagenes y Noticias pueden ser accedidas a través de múltiples subdominios. Google News puede ser alojada en el subdominio Google Maps, por ejemplo.
El ejemplo de la PoC de inyección de frame aprovecha la vulnerabilidad de los dominios de Google Images y Google que permiten imitar una pagina que viene del dominio Gmail. Pastor le dijo a SCMagazineUS.com el lunes que aprovechando la ventaja del problema que a través de dominios se puede mostrar el dominio de Gmail, un atacante puede montar un ataque de phishing convincente contra los usuario de Gmail.
Aunque la página ejemplo de la PoC es similar a la página de ingreso de Gmail, unos pocos elementos la señalan como ilegítima. También, la parte superior del marco la identifica como una imagen resultado de una búsqueda, mostrando aun más sospechosa a la página, le dijo el lunes un portavoz de Google a SCMagazineUS.com.
Google dice que está consciente de este concepto y que si se convierte en un ataque real, Google tomará medidas para tratarlo.
"Estamos conscientes del potencial de este tipo de comportamientos cuando los servicios son alojados a través de múltiples dominios, y tomamos medidas para restringirlo en donde creemos que podría tener consecuencias de seguridad," dijo un portavoz a a SCMagazineUS.com el lunes.
Traducido para el Blog de Segu-Info por Raúl Batista
Fuente: http://www.scmagazineus.com/Frame-injection-exploits-Google-flaw/article/119412/
http://www.gnucitizen.org/blog/frame-injection-fun/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!