1

By Dan Century

セキュリティ専門家のエイダン・ウッズ(Aidan Woods)氏がGoogleのログインページからマルウェアに感染する恐れのある脆弱性を発見、Googleのセキュリティチームに報告したのですが、Googleから「セキュリティバグとして追跡しないことに決定しました」という返答があったことがウッズ氏のブログで報告されています。

Aidan Woods: Google's Faulty Login Pages

https://www.aidanwoods.com/blog/faulty-login-pages

Google won't fix login page flaw that can lead to malware download | ZDNet

http://www.zdnet.com/article/google-wont-fix-login-page-flaw-can-lead-to-malware-download/

Google refuses to patch faulty login page that can be used to serve up malware

http://www.neowin.net/news/google-refuses-to-patch-faulty-login-page-that-can-be-used-to-serve-up-malware

ウッズ氏が発見したGoogleのログインページの脆弱性は、Googleのアプリやサービスにログインした後に別のページにリダイレクトさせられるというもの。リダイレクトされるページは「google.com」のドメインの範囲内に限られますが、GoogleドライブやGoogleドキュメントなどにマルウェアを設置すれば、「drive.google.com」「docs.google.com」といったGoogleのサブドメイン下でマルウェアのダウンロードページを表示できるとのこと。

ウッズ氏はこの脆弱性を突けばマルウェアをダウンロードさせることや、Googleのログイン情報を盗み取ることができると主張しており、Googleのセキュリティチームにバグ報告を行いました。これを受けたGoogleはこの問題について調査しましたが、「オープンリダイレクターの仕組みで対処できているので問題ない」として特別な対処は行わない旨をウッズ氏へ返信。ウッズ氏はセキュリティ専門家として脆弱性が存在する状態で詳細を公開するべきか迷っていたものの、Googleの対応を「問題を正しく認識していない」と考え、情報公開によってGoogleが改めて問題に対処してくれることを期待してブログの公開に踏み切ったそうです。



ログインページからリダイレクトされる様子を再現したムービーは以下から見ることができます。

Google: Faulty Login Pages - YouTube

URLに「Googleドライブのファイルをダウンロードする」というパラメータ(export=download)を挿入したGoogleのログインページで、Googleアカウントのログイン情報を入力して「Login」をクリックすると……



ログインが完了すると自動的にGoogleドキュメントから複数のファイルのダウンロードが始まりました。悪意のあるアタッカーなら、このようにマルウェアをダウンロードさせることができうると、ウッズ氏は警告しています。