Adrian Pastor z GNUCitizen pokazał prototypowe narzędzie, które służy to ataku na serwis Gmail. Pozwala ono zdobycie nazwy użytkownika i hasła do konta. Gdy posiadacz skrzynki pocztowej w Gmailu wpisze te dane w odpowiednie pola i będzie chciał się zalogować, informacje zostaną przesłane na serwer atakującego.
“Atakujący może wyświetlić użytkownikowi podrobioną witrynę, podczas gdy na pasku adresu przeglądarki użytkownika będzie widniał prawdziwy adres serwisu Google Gmail (mail.google.com)”.
Do przygotowania ataku Pastor wykorzystał błąd typu frame injection, o którym wyszukiwarkowy gigant został poinformowany już w kwietniu przez Aviva Raffa.
Google zapowiada, że podejmie kroki w celu zabezpieczenia swoich serwisów przed tego typu atakami.
Źródło: ArcaBit