Простенькое фитнес-приложение позволило разработчику украсть данные с миллионов Google-аккаунтов

Разработчик и дизайнер Итан Элшеб опубликовал в своём блоге на Medium свежий пост. В нём он рассказал о созданном им простеньком фитнес-приложении, с помощью которого ему удалось «украсть данные с миллионов Google-аккаунтов».

На эту тему он подготовил целую мини-статью. Но если кратко, то для реализации задуманного Элшеб использовал старый-добрый фишинг. При попытке пользователя зарегистрироваться в его программе при помощи аккаунта Google, разработчик выводил окно браузера прямо внутри приложения:

Когда пользователь вводил логин и пароль, приложение отправляло эти данные на сервер разработчика. Таким образом он и получал доступ к аккаунту.

Для того, чтобы обойти систему защиты Google от взлома, он выдавал пользователю не стандартную страницу для входа, а ту, которая используется при первичной настройке нового Android-девайса. Сделать же из неё точную копию обыкновенного диалогового окна входа в Google-аккаунт ему удалось при помощи JavaScript-хитрости.

А для того, чтобы пользователю не пришло уведомление о входе с подозрительного устройства, Элшеб использовал Google master token. Он сохраняет актуальность ровно до тех пор, пока пользователь не поменяет пароль или способ двухфакторной аутентификации. При этом Google настолько доверяет этому токену, что закрывает глаза на использование его с устройства, с совершенно посторонним IP-адресом, геолокацией и т.д.

Видео с демонстрацией всего вышеперечисленного доступно на YouTube:

Источник: Medium / Ethan Elshyeb