Google/YouTube

Autenticação da Google tem falha grave que não será corrigida

15 Comentários

As preocupações da Google no campo da segurança são elevadas. Todos os seus serviços assentam em mecanismos de autenticação seguros e com as mais recentes técnicas de protecção.

Mas uma nova falha foi descoberta, que pode quebrar esta segurança. O problema maior é que a Google se recusa a resolver este problema.

google_1

A falha foi encontrada pelo investigador Aidan Woods, que no seu site a revelou e detalhou. Segundo Woods o simples adicionar de um parâmetro na página de autenticação da Google redirecciona os utilizadores para sites pouco fidedignos.

Um qualquer atacante pode enviar a um utilizador um endereço contruído para levar o utilizador a autenticar-se e depois ser redireccionado para uma página que entende ser segura e que na verdade o pode infectar com malware ou outro qualquer tipo de vírus.

O processo está explicado num vídeo e foi apresentado à Google há algum tempo, tendo sido dado tempo para a gigante das pesquisas o resolver.

A resposta da Google

O problema maior é que a Google não reconhece este problema como uma falha e está a recusar-se a resolvê-la. Segundo a Google, este é o comportamento esperado e a forma de trazer o utilizador de volta ao site que levou à autenticação.

Like many account-based services, we’ve enabled these redirects, in part, to provide a simple sign-in experience across sites that also avoids unnecessary friction. In our case, a user may navigate to a site where they can log in with their Google credentials, sign in to their account, and finally be redirected back to the same page they were on initially. In parallel, we’re constantly striving to protect users from phishing and other security risks with a variety of safety measures, including Safe Browsing, two-factor authentication, and more.

Após a apresentação desta falha, vários outros investigadores contactaram Aidan Woods revelando que já a tinham apresentado à Google e que a resposta da empresa tinha sido a mesma.

É importante ter cuidado com os links que são recebidos por email e também com a forma que se acede aos mecanismos de autenticação. Uma simples distracção pode comprometer os dados dos utilizadores.

PUB
Autor: Pedro Simões
Partilhar:
Tags:
autenticação falha Google Segurança

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Android dominará em 2020 com 86% da quota de mercado
Artigo anterior

Android dominará em 2020 com 86% da quota de mercado
Saiba já se a sua conta do Dropbox está em risco
Próximo artigo

Saiba já se a sua conta do Dropbox está em risco
PUB

Comentários

15

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Diogo
    Diogo

    Hoje em dia já se chama falha a tudo, mesmo quando não se trata disso…

    Responder
    1. Avatar de int3
      int3

      E tem que ter um nome bonito.

      Responder
  2. Avatar de Phoenix
    Phoenix

    se fosse uma falha da samsung ou apple jà era a gogle a matar…

    Responder
    1. Avatar de Trend
      Trend

      já ía em 100 comentários

      Responder
  3. Avatar de Jorge
    Jorge

    Mas não funcionam assim muitos dos processos de autenticação realizados em sites terceiros, como acontece com alguns de grandes responsabilidade em PT?

    Responder
  4. Avatar de Emigrante
    Emigrante

    Nao e propriamente uma falha na autenticacao mas sim uma via para um possivel phishing…

    Responder
  5. Avatar de Jorge
    Jorge

    Os sites funcionam todos assim…

    Site com autenticacao por google / twitter / facebook…. y.com

    Click para autenticar
    Abrir site de autenticacao site.com?returnUrl=y.com
    Devolver token the autenticacao e abrir y.com

    Isto é o padrao para este tipo de autenticacao.

    Responder
    1. Avatar de Trend
      Trend

      O bug reportado não usa “Return” usa “Continue” e faz uso de serviços da própria Google.
      Lê o que o investigador publicou para perceber melhor como pode ser usado para phishing

      Responder
  6. Avatar de Just some guy
    Just some guy

    Certo que eles podiam ter uma lista de sites seguros no redirector deles, mas quem é que no seu perfeito juízo clica num link que não sabe o que é ou de onde vem e enfia logo as suas credenciais.

    Isso é fishing e contra isso a melhor protecção de todas é mesmo o utilizador.

    Responder
    1. Avatar de Trend
      Trend

      Phishing depende sempre de enganar as pessoas a fazer o que não devem mas já passa a ser problemático se for possível usar os serviços do site legítimo para fazer construir o phishing pois ajuda a todo o disfarce e logro.

      Responder
      1. Avatar de Just a guy
        Just a guy

        Não te tirando a razão, um link fraudulento dificilmente é passado a um utilizador de forma legitima.

        Responder
        1. Avatar de Trend
          Trend

          Tudo depende da forma como é apresentado, mas como é óbvio isto não é o único passo para o phishing. Contudo o facto de o link parecer legítimo, por usar algo da Google, poderá ajudar muito no logro.

          Responder
    2. Avatar de Nelson Branquinho
      Nelson Branquinho

      Muita boa gente.
      Infelizmente ainda existem pessoas que o fazem. Como vêm que vem do Google é fidedigno logo pensam que podem seguir o link.

      As pessoas não são todas iguais nem todas têm os mesmos tipos de conhecimentos.

      Responder
  7. Avatar de me and me
    me and me

    a isto nao se chama phishing? que tem a google com isto?

    todos os dias recebe spam da “apple”, “ctt”, “CGD”,”google docs”… todos eles sites de phishing…

    os utilizadores é que têm de star atendos

    Responder
  8. Avatar de irlm
    irlm

    pensava que era um problema de autenticaçao 2 passos que tinha falhas e não um esquema de phishing

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.