Разраб и дизайнер Итан Элшеб опубликовал в своём блоге на Medium свежайший пост. В нём он сказал о сделанном им простом фитнес-приложении, при помощи которого ему удалось «украсть данные с миллионов Гугл-аккаунтов».
На данную тему он подготовил целую мини-статью. Но если коротко, то для реализации загаданного Элшеб употреблял старый-добрый фишинг. При попытке юзера зарегистрироваться в его программке с помощью аккаунта Гугл, разраб выводил окно браузера прямо снутри приложения:
Когда юзер вводил логин и пароль, приложение высылало эти данные на сервер разраба. Таковым образом он и получал доступ к аккаунту.
Для того, чтоб обойти систему защиты Гугл от взлома, он выдавал юзеру не обычную страничку для входа, а ту, которая употребляется при первичной настройке новейшего Android-девайса. Создать же из неё точную копию обычного диалогового окна входа в Гугл-аккаунт ему удалось с помощью JavaScript-хитрости.
Вебинар «Защита от атак путём наполнения учётных данных и захвата учётных записей»
15 января в 11:00, Онлайн, Беcплатно
tproger.ru
Действия и курсы на tproger.ru
А для того, чтоб юзеру не пришло извещение о входе с подозрительного устройства, Элшеб употреблял Гугл master token. Он сохраняет актуальность ровно до того времени, пока юзер не поменяет пароль либо метод двухфакторной аутентификации. При всем этом Гугл так доверяет этому токену, что закрывает глаза на внедрение его с устройства, с совсем сторонним IP-адресом, геолокацией и т.д.
Видео с демонстрацией всего перечисленного выше доступно на YouTube:
Источник: Medium / Ethan Elshyeb
Источник: