Уязвимость в службах Google открыла путь для рассылки писем от лица компании

Николай Головко 22 Ноября 2010 - 13:30

...

Хакер из Армении обнаружил в Google Apps серьезную ошибку безопасности, эксплуатация которой позволяла извлекать электронные адреса пользователей и отсылать им чрезвычайно правдоподобные уведомления от имени административной группы.

Для демонстрации специалист создал особую страницу в сервисе Blogspot. Любому авторизованному владельцу учетной записи Google достаточно было лишь посетить эту страницу - на его адрес в Gmail незамедлительно поступало письмо, практически неотличимое по своим техническим параметрам от легитимных сообщений компании.

Ведущий технологический консультант Sophos Грэм Клалей, комментируя инцидент в корпоративном блоге, отметил, что поддельные письма, отправленные посредством эксплуатации этой уязвимости, отличаются от обычных фишинговых отправлений: в них не просто указан аутентичный адрес отправителя (noreply@google.com), но и имеются вполне легитимные заголовки. Даже если пользователь усомнится и решит проверить параметры сообщения, то он обнаружит, что письмо отправлено с сервера maestro.bounces.google.com, и у него имеется подпись google.com - иными словами, уведомление будет выглядеть весьма убедительно.

Технические особенности выявленного изъяна и прочую подробную информацию хакер публиковать не стал. В письме редакции Интернет-ресурса TechCrunch он заявил, что не хочет предавать такие сведения огласке. По его словам, он пытался сообщить о проблеме непосредственно в Google, но компания никак не отреагировала на его обращение; это несколько странно, поскольку поисковый гигант некоторое время назад объявил о готовности выплачивать вознаграждения за поиск уязвимостей в своих онлайн-сервисах.

Впрочем, теперь Google подтвердила наличие ошибки безопасности в интерфейсе Google Apps Script API и заявила, что в настоящее время она уже устранена.

"Уязвимость в Google Apps Script API, позволявшая автоматически отсылать письма авторизованным пользователям Gmail без их на то разрешения, в случае, если они посещали определенным образом сформированную веб-страницу, была оперативно исправлена", - говорится в официальном заявлении компании. - "Сайт, демонстрировавший данную уязвимость, был нами немедленно удален, а спустя непродолжительное время мы отключили и сам опасный функционал. В случае обнаружения новых потенциальных проблем безопасности просим сообщать об этом на почтовый адрес security@google.com".

Softpedia

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Екатерина Быстрова 26 Февраля 2026 - 15:16

Android Трояны Домашние пользователи

Новый Android-троян Oblivion обходит защиту и 2FA, захватывает смартфон

На форумах даркнета появился новый Android-зловред под названием Oblivion, исследователи считают его одним из самых опасных RAT последнего времени. В отличие от множества «пересобранных» и сырых троянов, этот инструмент позиционируется как полностью новая разработка, которую тестировали несколько месяцев перед релизом.

Oblivion продаётся по подписке: $300 в месяц или до $2200 за пожизненный доступ. Исходный код покупателям не передают, авторы сохраняют контроль над инфраструктурой. Атакуются устройства на Android 8-16, то есть практически все актуальные девайсы.

Анализом занялись специалисты Certo. По их данным, зловред активно рекламируется на киберпреступном форуме, с видеодемонстрацией и подробным описанием функций. Причём для управления им не нужны глубокие технические знания — всё максимально автоматизировано.

В комплект входит веб-инструмент для сборки APK. Оператор может замаскировать вредоносное приложение под что угодно, например под «Google Services». Есть и так называемый билдер дроппера: он создаёт фальшивые всплывающие окна «обновления системы», которые почти не отличить от настоящих уведомлений Google Play.

Главная «фишка» Oblivion — автоматический обход разрешений. Троян способен самостоятельно активировать доступ к службе специальных возможностей (Accessibility Service), не требуя действий от пользователя. Именно через этот механизм большинство банковских зловредов получают полный контроль над устройством.

Oblivion умеет обходить защитные механизмы популярных оболочек: MIUI (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor), OxygenOS (OnePlus). На Android 15 и 16, как утверждается, он даже «глушит» системные диалоги разрешений.

Для управления используется VNC, но с расширением HVNC — «скрытым» режимом. Пользователь видит на экране фальшивое сообщение «System updating…», а в это время злоумышленник получает полноценный удалённый доступ.

Чтобы обойти защиту банковских и криптоприложений от скриншотов, используется отдельный модуль «Screen Reader», который считывает содержимое напрямую. Зловред собирает СМС, коды 2FA, уведомления, нажатия клавиш, список приложений и файлы. Более того, он может автоматически разблокировать устройство, используя перехваченные данные.

Удалить Oblivion тоже непросто: встроены механизмы защиты от деинсталляции и отзыва разрешений. Инфраструктура рассчитана более чем на 1000 одновременных сессий и использует сети вроде Tor.

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!