Недостаток безопасности с веб-сайтом Google Developers позволил нападавшему обманывать пользователей в удаление цифровых активов, связанных с их счетами Google или восстанавливать почтовые нити и приложения.

Исследователь безопасности Полос Йибело обнаружил, что злонамеренная деятельность была возможна, потому что Google Developers (developers.google.com) не извлек выгоду из политики безопасности содержания, которая позволила ее страницам быть предоставленными на других веб-сайтах в iframes маскировкой низкого действия в типе нападения, названного clickjacking.

Веб-сайт особенно важен, потому что он обеспечивает доступ к API (интерфейс приложения), который может взаимодействовать с различными услугами Google и сделать модификации.

Простая уловка могла нанести много ущерба

Йибело говорит, что, в отсутствии clickjacking обороноспособности, такой как X-Frame-Options HTTP заголовки ответа, у человека была возможность завершения любого действия, выполненного Google API; это включает удаление плей-листы YouTube, блоги, комментарии или посты, получение электронного письма и приложений, а также восстановления деятельности пользователя по Google plus и списку друзей.

Чтобы доказать его требования, исследователь сделал доступным требования и шаги, которые нападавший должен был сделать, чтобы удалить чей-то плей-лист YouTube.

В списке предпосылок для успешного нападения есть предыдущее разрешение Google API, идентификатор целенаправленного плей-листа (который является общественным), и обман жертвы в доступ к веб-сайту, где ловушка clickjacking настроена.

Один метод, чтобы потянуть уловку должен “создать ту область, сделать его прозрачным и поместить кликабельную кнопку, чтобы 'Выполнить' с кнопками как, ‘Щелкают здесь, чтобы выиграть свободный iPhone’”, говорит Йибело.

Google предлагает вознаграждение уязвимости

Для открытия этого метода нападения на ресурсах Google исследователь получил денежное вознаграждение $1 337 / 1 200. Раскрытие произошло 12 апреля, и приблизительно неделю спустя, защита X-Frame-Options была добавлена, предотвратив предоставление страницы в структуре, скрытой или нет, на различном веб-сайте.

Google имел дело с другим нападением clickjacking в начале апреля, когда это начало страницу результатов поиска, которая была показана назад, в течение Дня веселых обманов.

Оказалось, что это усилие также заставило Кс-Фрэйм-Опшнов на регулярной странице быть удаленными, позволив странице настроек поиска быть включенным в iframe на стороннем веб-сайте. Последствие было то, что нападавший мог внести постоянное изменение в параметрах настройки поиска жертвы.