Met behulp van dit soort pagina's is het mogelijk om de inloggegevens van Gmail-gebruikers te stelen. De problemen blijven echter niet beperkt tot Gmail, ook de inlogpagina's van Google Kalender en andere diensten van Google zijn op dezelfde manier te vervalsen. Beveiligingsexpert Adrian Pastor, van de GNUCitizen ethical hacking collective heeft deze kwetsbaarheden bekendgemaakt aan de hand van een proof-of-concept (PoC) aanval.

Inlogpagina gekloond

Pastor slaagde er dankzij een lek in de site van Google in om eigen content te injecteren in de pagina's van Google. Als gevolg hiervan kon hij een kopie maken van de inlogpagina, terwijl er in de adresbalk nog altijd mail.google.com werd getoond. Pastor gaf daarbij de duidelijke waarschuwing om niet in te loggen met inloggegevens van Google omdat de gegevens worden verstuurd naar www.gnucitizen.org.

Al in april gemeld

Het wrange aan dit verhaal is dat onderzoeker Aviv Raff de kwetsbaarheid al eerder dit jaar had ontdekt en in april al aan Google had gemeld. Volgens Raff bevatte het gehele google domein een ontwerpfout die ervoor zorgde dat de maps, kalenders en andere applicaties benaderd konden worden via verschillende subdomeinen van google.com.

Raff legt uit: "Een klein cross-site scripting probleem in Google Maps kan nu gebruikt worden om Google, Gmail of Google Apps-accounts te kapen. Het enige dat een hacker hiervoor hoeft te doen is de Same Origin Policy van de browser omzeilen".

Dat is dan ook precies wat Pastor deed. Hij koppelde de web-app sharing-bug aan een frame injection kwetsbaarheid in Google Images. Het resultaat was een vervalste inlogpagina die voor de gemiddelde gebruiker niet te onderscheiden is van de echte. Pastor beweert niet dat het verhelpen van de cross-domain bug ervoor zou hebben gezorgd dat hij zijn aanval niet uit had kunnen voeren, maar het zou een stuk minder effectief zijn geweest en veel opvallender.