Google отказалась устранять баг на странице входа в учетную запись Google (https://accounts.google.com/ServiceLogin?service=mail), связанный с параметром continue. Более того, корпорация заявила, что не считает этот баг уязвимостью, сообщает исследователь по безопасности Айдан Вудс (Aidan Woods), который сообщил компании о найденной ошибке и получил ответ.
Как это работает
Добавление параметра continue в URL сервера Google.com позволяет при правильном введении пароля перенаправить пользователя в тот сервис Google, в который он намеревался войти.
Для того, чтобы избежать фишинговых ссылок, Google ограничила работу параметра continue серверами в домене google.com. Таким образом, редирект может выполниться, например, на drive.google.com или docs.google.com, но не может на example.com.
Айдан Вудс нашел способ, как это ограничение обойти.
Редирект на произвольный сайт
Сервер Google.com поддерживает технологию проекта Accelerated Mobile Pages (AMP), которая позволяет выполнять редирект на мобильную версию сайта (при ее наличии), если пользователь переходит по ссылке на этот сайт с мобильного устройства. Для того чтобы заставить технологию работать, необходимо дописать к google.com выражение /amp/, после которого указать адрес сайта, например, google.com/amp/example.com. На мобильном устройстве в этом случае откроется версия сайта, оптимизированная под небольшой экран. На десктопе пользователь увидит полноценную страницу.
Демонстрация уязвимости сервера Google.com
Баг, по мнению Вудса, заключается в том, что сервер Google никак не проверяет безопасность ссылки, указанной после параметра amp, а также в том, что ссылка может быть любая, на любой сайт в мире (иначе смысл технологии нарушается).
Вудс утверждает, что это может быть орудием злоумышленников: достаточно распространить письмо с соответствующей ссылкой на сайт Google.com, подставив в него ссылку на вредоносный сайт, на который пользователь в итоге попадет. Этот вредоносный сайт можно сделать копией интерфейса любого из сервисов Google, а после того, как пользователь на нем окажется, попросить ввести пароль и похитить его. В этом суть фишинга.
Злоумышленник может поступить еще проще: просто сделать редирект на вредоносный файл, хранящийся в drive.google.com, так как этот адрес проходит проверку при редиректе (он находится в зоне Google). Файл скачается на компьютер жертвы автоматически.
Ответ Google
В переписке с Google Вудс объяснил ситуацию и предоставил примеры. «Спасибо за ваше исследование и отчет, которые помогают нам повышать безопасность наших пользователей! Мы изучили предоставленную вами информацию и приняли решение не считать вашу находкой уязвимостью», — ответили в компании.
Примечательно, что в блоге Google Webmasters представители компании еще в 2009 г. написали, что не считают открытый редирект с сайта Google.com уязвимостью.