פירצה באתר גוגל מאפשרת לחדור לפרטי המשתמש
אימייל שמבטיח סרטון עירום של בריטני ספירס משתמש בפירצת אבטחה בגוגל כדי להפיץ וירוסים. הפירצה עלולה לאפשר גניבת חשבונות ג'ימייל
11:4805.05.08
פירצת אבטחה שהתגלתה בגוגל משמשת להפצת וירוס, ועלולה לשמש גם להונאת דיוג (פישינג) - גניבת חשבונות ג'ימייל ושאר שירותים של גוגל. כך עולה מבדיקת "כלכליסט".
מופנה אליו.
מדובר בפירצת Open Redirection המאפשרת ליצור לינק אמיתי בגוגל. בסופו של הלינק מוכנסת כתובת של אתר אחר, והדפדפן
הפירצה כבר משמשת להדבקת מחשבים בווירוס באמצעות אימייל שמבטיח סרטון עירום חדש של הזמרת בריטני ספירס. הקלקה על תמונת העירום של הזמרת מובילה ללינק בגוגל, שמפנה ישירות לקובץ הווירוס המתאחסן באתר אחר.
נוסף על כך, הפרצה משמשת לצורך "דיוג": מקימים אתר שנראה בדיוק כמו עמוד הכניסה לג'ימייל, שותלים את כתובתו בלינק ה"גוגלי" ומפיצים אותו. גולש שיקליק על הלינק, במחשבה שגויה שהוא נכנס לאתר ג'ימייל, יועבר לאתר הדיוג. שם הוא יזין את השם והסיסמה, אך אלה יועברו לגורם עוין המעוניין להשתלט על חשבון הג'ימייל של הגולש המרומה.
"זו בעיה שמאפשרת לתוקף להסתמך על כך שמשתמשים מכירים את האתר המקורי, גוגל במקרה הזה, וסומכים על כך שהלינק בטוח", מסביר גיא מזרחי, חוקר אבטחת מידע ובעל הבלוג Zull, יומנו של האקר. מזרחי הדגים ל"כלכליסט" פירצה בכתובת www.hacking.org.il/gmaildemo.
מגוגל נמסר בתגובה: "Open URL redirection היא סוגיה שאנחנו לוקחים מאוד ברצינות. ברגע שאנחנו מיודעים על הפניית כתובות פתוחה ב-google.com, אנו פועלים נמרצות לסגור את ההפניה הזאת".
