Les redirections ouvertes de Google peuvent facilement autoriser les attaques de phishing – où un cybercriminel incitera les utilisateurs à saisir leurs informations dans une fausse page de connexion – a averti un chercheur en sécurité.
Le chercheur en sécurité Sean Wright a découvert un problème affectant le service de visioconférence Google Meet. Le problème vient du fait que Google convertit les URL en redirections dans sa suite de produits, a détaillé Wright dans un Blog.
Donc quel est le problème?
Les redirections ouvertes vous mènent d’une URL Google vers un autre site Web choisi par la personne qui a construit le lien. Lorsqu’un lien est publié dans les messages de chat lors d’une session Google Meet, il est converti en lien Google Meet.
«Cliquer sur ce lien amènera alors l’utilisateur à l’URL appropriée», dit Wright. « Mais c’est un problème car il devient soudainement un outil fantastique pour le phishing. »
Le problème des redirections ouvertes
Une partie du problème est que les gens regardent généralement le début d’une URL pour évaluer qu’un lien est valide. Dans un lien vers un domaine frauduleux, l’URL apparaîtra comme légitime: meet.google.com. «Beaucoup supposeront à tort que ce lien est légitime», dit Wright.
Mais lorsque vous cliquez sur le lien, vous êtes redirigé vers une page « connexion Google » usurpée, explique Wright sur son blog. Il y a des indices qui le donnent comme faux, comme le nom de domaine «accounts-google.phishy.info» et le contenu manquant. Cependant, Wright dit: « La plupart des gens ne regardent l’URL qu’avant de cliquer dessus, pas après. »
A cela s’ajoute le fait qu’aucune authentification n’est nécessaire, dit Wright. « Vous pensez peut-être que ce lien est généré lors d’une session Google Meet, vous devez donc au moins être authentifié et avoir une session valide. Nan. Cela fonctionne sans aucune authentification et est accessible simplement en cliquant sur le lien. »
Dans le même temps, alors que des paramètres de requête supplémentaires sont générés dans ce lien lors de sa création dans Google Meet, la vulnérabilité fonctionne sans eux. «Ce qui est pire, vous pouvez fournir des paramètres et ils sont simplement ignorés», dit Wright.
C’est un problème car vous pouvez l’utiliser pour masquer l’URL de redirection, explique-t-il.
«Souvent, cette URL pourrait être tronquée ou plus que probable, l’utilisateur n’y prêtera tout simplement pas attention. Les hameçonneurs sont incroyablement créatifs et ils en profiteront sans aucun doute. »
La position de Google sur les redirections ouvertes
Wright a signalé le problème à Google mais il a été rejeté. Google a refusé de commenter cette histoire, mais m’a indiqué sa position sur redirections, qui se lit comme suit: «Certains membres de la communauté de la sécurité affirment que les redirecteurs facilitent le phishing, car les utilisateurs peuvent être enclins à faire confiance à l’info-bulle de survol de la souris sur un lien, puis à ne pas examiner la barre d’adresse une fois la navigation effectuée.
«Notre point de vue à ce sujet est que les info-bulles ne sont pas un indicateur de sécurité fiable et peuvent être altérées de plusieurs façons; Nous investissons dans des technologies pour détecter et alerter les utilisateurs en cas de phishing et d’abus, mais nous estimons généralement qu’un petit nombre de redirecteurs correctement surveillés offre des avantages assez évidents et pose très peu de risques pratiques.
Cependant, Google reconnaît que certains redirecteurs mal conçus «peuvent conduire à des failles plus graves» et déclencher certaines vulnérabilités qu’il considère comme un problème.
Google a également souligné que son navigateur Chrome offre des fonctionnalités qui détectent lorsqu’un utilisateur clique sur un site Web malveillant et son Outil d’état du site de navigation sécurisée aide les gens à identifier les sites dangereux.
Wright affirme que la navigation sécurisée de Google fonctionne, « mais il semble qu’il s’agisse d’un processus manuel, obligeant les utilisateurs à signaler le site / domaine. »
Bien que Google ne le considère pas comme un problème, Wright n’est pas d’accord. Il dit que ce type de phishing est «vraiment difficile à détecter» car il peut être masqué si facilement. Cependant, il souligne que l’utilisation d’un gestionnaire de mots de passe et l’activation de l’authentification à deux facteurs peut aider à réduire le risque.
.