Британский исследователь безопасности Эйдан Вудс (Aidan Woods) обнаружил уязвимость на странице авторизации Google, позволяющую злоумышленникам загружать файлы на компьютер пользователя, когда тот нажимает на кнопку «Войти».

Проблема связана с тем, что Google принимает continue=[link] в качестве параметра URL-адреса страницы авторизации, указывающего серверу Google, куда перенаправить пользователя после прохождения аутентификации. В компании предусмотрели возможные риски, связанные с данным  параметром, поэтому ограничили его использование только доменами google.com, использующими *. google.com/*, где * - символ подстановки. Это значит, что ссылки drive. google.com и docs. google.com могут считаться действительными параметрами continue URL-адреса.

Как пояснил Вудс, злоумышленник

может загрузить вредоносное ПО в свою учетную запись на Google Drive или Google Docs и спрятать URL в ссылке на официальную страницу авторизации Google. Пользователи, получившие фишинговое письмо с такой ссылкой, будут уверены, будто она ведет на легитимную страницу. После завершения процесса авторизации на компьютер жертвы без ее ведома будет загружено вредоносное ПО.    

Вудс сообщил Google о проблеме, однако не получил от компании никакого ответа.