Google ha anticipado que este parámetro podría causar problemas de seguridad y ha limitado su uso solamente para dominios de google.com utilizando la regla "*.google.com/*" pero, los atacantes podrían albergar malware en Google Drive/Docs y propagarlos desde allí.
Woods descubrió que podría pasarse drive.google.com o docs.google.com como parámetro y con un enlace que apunta a un archivo dañino alojado en esos servicios. Luego hacer que el proceso de login continuara, lo cual haría que el usuario que inicia sesión descargue el archivo.
https://accounts.google.com/ServiceLogin?service=mail&
continue=https://docs.google.com/uc?id?XXXXXXXXXXXXXXX&export=download
Los usuarios que recibieran este enlace fraudulento probablemente serían engañados facilmente porque es una URL real de inicio de sesión de Google.Por ahora Google se negó a resolver el problema porque "esta técnica no afecta substancialmente la confidencialidad o integridad de los datos de los usuarios".
Fuente: Softpedia
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!