Пакистанский студент нашёл уязвимость в Gmail, допускающую взлом любого аккаунта

Google часто вознаграждает тех, кто находит уязвимости в её продуктах, чтобы повысить безопасность своих приложений и систем. Совсем недавно студент из Пакистана, Ахмед Мехтаб, попал в Зал славы Google за свой вклад в программу Vulnerability Reward Program. 

И в чём заключается его вклад?

Если у вас есть более одного почтового адреса, Google позволяет связывать их. Ещё одной фичей является настройка пересылки писем с основного аккаунта на другие адреса.

Ахмед Мехтаб нашёл способ доказать, что эти методы уязвимы к обходу верификации.

Это возможно лишь в одном из следующих случаев:

• Если SMTP получателя отключен;
• Если получатель деактивировал свой аккаунт;
• Если получатель не существует;
• Если получать заблокировал нас.

Алгоритм взлома таков:

• Злоумышленник пытается подтвердить факт владения аккаунтом xyz@gmail.com.
• Google отправляет письмо на xyz@gmail.com для подтверждения;
• xyz@gmail.com не способен получить письмо, и оно отправляется обратно;
• В этом письме содержится код верификации;
• Злоумышленник берёт этот код и подтверждает факт владения xyz@gmail.com.

Вот видеодемонстрация:

О программе Vulnerability Reward Program (VRP)

Google запустила эту программу для поиска багов и иных уязвимостей в своих веб-сервисах. Также ошибки можно искать в приложениях и расширениях Google из Google Play, iTunes и Chrome Web Store. Каждый нашедший уязвимость и составивший гайд по её использованию может получить от компании до 20 тысяч долларов.