Jeśli duża firma, taka jak Google chce być nadal postrzegany przez wszystkich użytkowników, którzy na co dzień korzystają z jego usług i ufać jej z całą swoją prywatnością i dokumentacją jako jednej z najbezpieczniejszych firm na świecie, muszą sprawdzić, czy ich bezpieczeństwo jest naprawdę zagwarantowane. Jednym ze sposobów weryfikowania przez Google bezpieczeństwa systemów jest program nagród gdzie każdy może znaleźć lukę w zabezpieczeniach. W zależności od powagi tego, osoba, która go odkryje, może wygrać Dolarów 20.000.
Właśnie dzięki takim programom jest wielu użytkowników specjalizujących się w bezpieczeństwie, którzy praktycznie codziennie pracują nad znalezieniem dowolnego typu problemu, zgłoszeniem go i tym samym z jednej strony Google naprawia je praktycznie od razu i sami mogą zarobić na tym co robią. większość chce. Tym razem muszę Wam opowiedzieć Ahmed mehtab, Dyrektor generalny Security Fuss i pakistański badacz, który właśnie znalazł plik dość duży problem bezpieczeństwa w procesie weryfikacji Gmaila.
Ahmed Mehtab ujawnia proces wymagany do kradzieży konta Gmail.
Jak już wspomniano, bez konieczności posiadania rozległej wiedzy informatycznej i bezpieczeństwa, każdy użytkownik mógłby przejąć kontrolę nad kontem w szczególności za pomocą prostej procedury. Po pierwsze, aby ta akcja mogła zostać wykonana, odbiorca SMTP nie może być połączony, konto zostało dezaktywowane, odbiorca wcześniej zablokował nadawcę lub nie istnieje identyfikator, na który ma wysłać wiadomość potwierdzającą.
Jeśli jeden z tych czterech warunków zostanie spełniony, użytkownik, który chce ukraść konto, będzie mógł potwierdzić własność wiadomości e-mail, wysyłając wiadomość e-mail do Google. W sposób całkowicie automatyczny wyszukiwarka wysyła odpowiedź na wspomniany adres w celu potwierdzenia, ponieważ adres nie może odebrać wiadomości e-mail z potwierdzeniem, wiadomość wraca do oryginału z kodem do odzyskania konta. W ten sposób atakujący może przejąć kontrolę nad tym kontem.
Więcej informacji: Techworm