【IT】Googleがログインページの脆弱性を指摘されるも「問題なし」として放置することに決定at BIZPLUS
【IT】Googleがログインページの脆弱性を指摘されるも「問題なし」として放置することに決定 - 暇つぶし2ch1:海江田三郎 ★
16/09/05 10:17:33.84 CAP_USER.net
URLリンク(gigazine.net)

セキュリティ専門家のエイダン・ウッズ(Aidan Woods)氏がGoogleのログインページからマルウェアに感染する
恐れのある脆弱性を発見、Googleのセキュリティチームに報告したのですが、Googleから「セキュリティバグとして追跡しないことに決定しました」と
いう返答があったことがウッズ氏のブログで報告されています。

ウッズ氏が発見したGoogleのログインページの脆弱性は、Googleのアプリやサービスにログインした後に別のページにリダイレクトさせられるというもの。
リダイレクトされるページは「google.com」のドメインの範囲内に限られますが、GoogleドライブやGoogleドキュメントなどにマルウェアを設置すれば、
「drive.google.com」「docs.google.com」といったGoogleのサブドメイン下でマルウェアのダウンロードページを表示できるとのこと。
ウッズ氏はこの脆弱性を突けばマルウェアをダウンロードさせることや、Googleのログイン情報を盗み取ることができると主張しており、
Googleのセキュリティチームにバグ報告を行いました。これを受けたGoogleはこの問題について調査しましたが、
「オープンリダイレクターの仕組みで対処できているので問題ない」として特別な対処は行わない旨をウッズ氏へ返信。
ウッズ氏はセキュリティ専門家として脆弱性が存在する状態で詳細を公開するべきか迷っていたものの、
Googleの対応を「問題を正しく認識していない」と考え、情報公開によってGoogleが改めて問題に対処してくれることを期待してブログの公開に踏み切ったそうです。

ログインページからリダイレクトされる様子を再現したムービーは以下から見ることができます。
URLに「Googleドライブのファイルをダウンロードする」というパラメータ(export=download)を挿入した
Googleのログインページで、Googleアカウントのログイン情報を入力して「Login」をクリックすると……
ログインが完了すると自動的にGoogleドキュメントから複数のファイルのダウンロードが始まりました。
悪意のあるアタッカーなら、このようにマルウェアをダウンロードさせることができうると、ウッズ氏は警告しています。

2:名刺は切らしておりまして
16/09/05 10:23:42.17 h/Gty6ew.net
『美人すぎるコスプレイヤー集』美人揃いで話題沸騰だったダイハツコンパニオン
URLリンク(t.co)

3:名刺は切らしておりまして
16/09/05 10:47:02.71 pIiL78DG.net
まさかビジネス板に広告業界の親玉のOSやブラウザ使ってる情弱はいないだろうな?

4:名刺は切らしておりまして
16/09/05 10:58:37.04 E7mbLE23.net
Googleドライブからダウンロードする時に、ウイルスチェックされてたよね。文章の意味がわかりにくいんだけど。

5:名刺は切らしておりまして
16/09/05 10:59:39.41 B4bfJ/pp.net
googleがいうなら大丈夫なんだろ

6:名刺は切らしておりまして
16/09/05 11:12:40.23 WIISb9sI.net
いや、大丈夫なのか?w

7:名刺は切らしておりまして
16/09/05 11:48:22.47 iK9ICd16.net
き…脆弱性

8:名刺は切らしておりまして
16/09/05 12:23:45.22 m7Lgy/Zo.net
「会社自体の機密でなくユーザーに関することだから問題なし 知ったことでなし」グーグル 
らしいな

9:名刺は切らしておりまして
16/09/05 12:32:47.62 zv0elmV1.net
こういう動きもするってだけでたいした問題はないな

10:名刺は切らしておりまして
16/09/05 12:39:56.77 +3JGnSKP.net
>>7
「もろじゃくしょう」な

11:名刺は切らしておりまして
16/09/05 13:19:02.03 P4EKFaPZ.net
グーグルは大企業のくせにサポートが本当にひどい
個人だけでなく法人相手でも殿様商売だからな

12:名刺は切らしておりまして
16/09/05 14:34:02.91 6s+2uSb3.net
別垢に遷移されられるんならかなりクリティカルです

13:名刺は切らしておりまして
16/09/05 17:45:45.75 bD1D5sZv.net
>>11
MSがなかなか倒されない理由でもあるな

14:名刺は切らしておりまして
16/09/05 18:07:47.17 CxlN9jde.net
犬も熊も区別しない、警察

15:名刺は切らしておりまして
16/09/05 21:07:19.12 N/bx890D.net
>>4
マルウェアは既知のものしか検知できないです。
が、そんなこと言い出したらグーグルドライブだけでなく、
ドロップボックスなどファイルダウンロード機能を備えるサービスは全て同じでしょうから、
このオッサンが言わんとしてることがよく分からないですね。
共産党や環境保護団体のように、とにかく人類がやることにはイチャモンをつけたいだけなのかも?

16:名刺は切らしておりまして
16/09/05 21:23:10.63 xOiE6qeL.net
グーグルが、客のPCにウイルスを仕込むための仕様だろ?

17:名刺は切らしておりまして
16/09/06 01:01:52.29 GbYUnpMm.net
実行までセットなら危険だけど
ダウンロードさせるだけか?
そりゃ普通のWebページですら可能な行為だし危険とは言えないんじゃ?

18:名刺は切らしておりまして
16/09/06 08:57:02.11 NeWT9J2s.net
>>17
充分危険だろ。
自動実行させることなんて訳ないぞ。

最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch