Возникает новая уязвимость в системе безопасности Google Mail

Новости о захвате доменов стали известны в последние недели. Общность заключалась в том, что все жертвы использовали Google Mail в качестве основного адреса электронной почты своих веб-сайтов. Вчера в блоге Geek Condition было опубликовано доказательство концепции уязвимости системы безопасности Gmail, в которой объясняется, как злоумышленник смог захватить доменные имена.

Злоумышленник в основном устанавливает фильтры в Gmail для пересылки писем от регистратора домена на другую учетную запись электронной почты. Чтобы владелец учетной записи не заметил, что письма, которые они были настроены на удаление, впоследствии.

Большинство регистраторов доменов предлагают веб-формы, которые можно использовать для получения информации об учетной записи. Godaddy, например, предоставляет веб-формы для получения имени пользователя и сброса пароля учетной записи. Они отправляют электронные письма на основную учетную запись электронной почты. Однако эти электронные письма пересылаются и удаляются, так что к ним может получить доступ только злоумышленник.

Два электронных письма будут содержать имя пользователя учетной записи и новый пароль, который можно использовать для входа в учетную запись и инициации передачи домена другому регистратору.

Эксплойт использует специально подготовленный веб-сайт для кражи файлов cookie Google Mail у пользователя и установки фильтра в скрытом iframe. Вот почему злоумышленники никогда не выходили из своей учетной записи. У него никогда не было физического доступа к аккаунту. Но фильтра хватило, чтобы перехватить домены.

Пользователи Gmail должны регулярно проверять свои фильтры, чтобы убедиться, что не существует ни одного, который не был добавлен ими. Лучшим решением было бы получить электронные письма из настольного почтового клиента, такого как Thunderbird или Microsoft Outlook. От команды Google Mail пока ничего не известно об уязвимости.