Estudiante de Pakistán descubrió una falla en Gmail de autenticación o verificación métodos
Google invita a investigadores de todas partes del mundo para descubrir defectos en sus aplicaciones más nuevas o existentes, extensiones, software y sistema operativo que están disponibles en Google Play, Chrome Web Store y / o iTunes. A cambio, el candidato seleccionado se otorga premios. El objetivo fundamental de estos programas es el de hacer que las aplicaciones y los sistemas de Google más protegido y seguro.
Sin embargo, no es una tarea fácil de lograr ya que para calificar para VRP de Google, que era vital que el bug/vulnerabilidad se identifica en cualquiera de estas categorías mencionadas a continuación: "Cross-site scripting, Cross-site solicitud falsificación, guiones de contenido mixto, De autenticación o autorización defectos, Del lado del servidor errores de ejecución de código".
Cuando la vulnerabilidad se identifica como válida, el hacker puede esperar recibir hasta 20,000 dolares por Google.
Ahmed Mehtab, un estudiante de Pakistán y el director general de Seguridad de Fuss, es el último en ganar este premio en Google. Mehtab descubrió una falla en Gmail de autenticación o verificación demétodos.
Si un usuario tiene más de una dirección de correo electrónico, Google permite al usuario enlace de todas las direcciones y también le permite mensajes de correo electrónico de la cuenta principal se transfirieron a cuentas secundarias.
Mehtab identificó un defecto inherente al método de derivación de verificación adoptado por Google para la conmutación y la vinculación de direcciones de correo electrónico, lo que conduce al secuestro de los identificadores de correo electrónico.
Se descubrió que las direcciones de correo electrónico se volvieron vulnerables a secuestrar cuando se produce una de las siguientes condiciones: 1 Cuando el SMTP del destinatario no está en línea, 2 El correo electrónico ha sido desactivada por el destinatario, 3 Destinatario no existe o ID de email no es válida, 4 El receptor existe, pero ha bloqueado el remitente
Así es como el secuestro puede llevarse a cabo: el atacante intenta verificar el estado de la propiedad de una dirección de correo electrónico por correo electrónico a Google.
Google envía un correo electrónico a esa dirección para su verificación. El mensaje de correo electrónico no puede recibir el correo electrónico y por lo tanto, el correo de Google es enviado de vuelta al remitente real y esta vez contiene el código de verificación.
Este código de verificación será utilizado por el pirata informático y se confirmará la propiedad a esa dirección particular.
Fecha actualización el 2021-11-4. Fecha publicación el 2016-11-4. Categoría: Malware. Autor: Oscar olg Mapa del sitio