Gmails säkerhetshål kan leda till massinsamling av konton

En teknik som används av marknadsförare för att lura människor att registrera sig för gratis varor kan lätt distribueras om som en motor för att samla in ett otalligt antal lösenord för Google-konton. Att åtgärda problemet kommer inte att vara trivialt för Google, eftersom utnyttjandet är grundläggande för hur Google tillåter användare att återställa åtkomst till sina konton när de tappar eller glömmer sina lösenord.





Googles kontoåterställningsprocedur kan göra det oklart för användarna att de ger hackare full åtkomst till deras konto

Medan andra har rapporterat om användningen av denna exploatering av enskilda hackare, tror jag att det du läser nu är den första redogörelsen för hur det kan förvandlas till ett massnätsfiske-bedrägeri som kan dra ut på även relativt sofistikerade användare.

Hacket



Nyligen fick min fru och jag båda, inom en timme efter varandra, ett sms så här:

Ditt bidrag förra månaden har vunnit! Gå till http://xxxxxx ange din vinnande kod: 1122 för att hämta ditt GRATIS 1 000 $ bästa köp presentkort!

Våra telefonnummer är nästan identiska, så det faktum att vi båda fick den här texten på kort tid tyder på att någon automatiskt skickar ett SMS till varje nummer i ett visst intervall, en efter en. Vilket skulle göra det till klassisk textspam, irriterande men inte farligt i sig.



URL:en i texten går till denna webbplats, http://bestbuy.bestgiftcardsforu.com/ som frågar efter din e-postadress. Webbplatsen verkar vara ansluten till (eller åtminstone länkar till och lånar text från) MyRewardsClub.com . Jag tror inte att dessa människor är hackare, bara marknadsförare.

Men här är hur hackare kan förvandla detta marknadsföringsschema till ett lösenordsskördande system: Efter att användare har angett sin e-postadress, om det är en gmail-adress, kan hackare automatiskt begära att Google skickar en kontoverifieringskod till mobiltelefonen till ägaren av den Gmail adress. Det här är vad Google gör när du berättar att du har glömt ditt lösenord – ett av de tre alternativen för att återställa det är att få en verifieringskod skickad till mobilnumret som är kopplat till ditt konto.

För att användaren ska kunna göra anspråk på sin belöning (i det här fallet, ett falskt presentkort på 1 000 USD) kan webbplatsen sedan uppmana dem att ange verifieringskoden som Google skickade till användarens telefon. Så snart sidan har både en användares Gmail-adress och den verifieringskoden är det slut – hackare kan använda koden för att logga in på det kontot och omedelbart ändra lösenordet, ge dem åtkomst och låsa användaren från sitt eget konto.



Andra exempel på hacket

Denna exploatering verkar vara precis det sätt som en hackare fick tillgång till ett antal konton under loppet av att skaffa bilder för webbplatsen Is Anyone Up, som beskrivs av Camille Dodero i en senaste inslag för Village Voice :

Är det verkligen så lätt att hacka ett Gmail-konto? Se själv: Gå till Gmails inloggningsskärm och klicka på den ofta ignorerade länken under inloggningsmenyn, Kan du inte komma åt ditt konto? Tre alternativ visas; välj Jag har glömt mitt lösenord. Skriv in en Gmail-adress – valfri aktiv Gmail-adress – och om det finns ett telefonnummer kopplat till kontot får du ytterligare tre alternativ, varav ett är Få en verifieringskod på min telefon. Du behöver inte ens veta telefonnumret. Tryck bara på fortsätt så visas en icke-relaterad sexsiffrig kod i ett textmeddelande till kontoägarens telefon. Skriv in den verifieringskoden – ett nummer som lätt kan erhållas av en maskerad e-bedragare – och du är med. Det första du uppmanas att göra är att omedelbart ändra ditt lösenord och därigenom blockera den ursprungliga ägaren.



Med andra ord, om en hacker bara känner till din Gmail-adress och kan ta reda på hur han kan komma åt din telefon, är han redan på väg in i din skit.

I fallet med hackaren som samlar in bilder för Is Anyone Up, verkar det som att han eller hon chattade upp mål via Facebook.

Ett allt vanligare nätfiskesystem

Denna attack har använts av andra och kan vara utbredd. Lokesh Singh , en professionell hackare, beskriver på sajten HackingLoops hur en av hans klienter blev offer för samma hack , använde bara angriparen Gchat för att övertyga offret att lämna över verifieringskoden som Google hade sms:at till honom.

Vad Google och dess användare står inför är med andra ord ett nätfiskesystem som verkar fungera även på relativt sofistikerade användare, eller åtminstone sådana som är smarta nog att inte klicka på slumpmässiga länkar i skräppostmeddelanden. Men det jag beskrev i början av det här stycket tar potentiellt denna attack till en helt ny nivå, bortom arbetsintensiva hackningar av enskilda konton och till området för automatiserad, storskalig lösenordsskörd.

Det är bra att Google har ett sätt för användare att återställa åtkomst till sina Gmail-konton som är beroende av en sekundär enhet som hackare nästan aldrig har tillgång till – en användares mobiltelefon. Den svaga länken är som alltid människan som redan har tillgång till alla sina förment säkra beröringspunkter – användaren själv. Kanske kan denna attack stoppas helt enkelt genom att öka medvetenheten om det ingen ska någonsin, någonsin lämna över sin Google-verifieringskod .

Dölj