Google : une faille dans la 'Toolbar' ouvre la porte aux 'phisheurs'

Les outils de Google au service des cybercriminels…

Le problème, identifié par le chercheur spécialisé en sécurité Aviv Raff, affecte les versions 4 et 5 de la boîte à outils (pour Firefox et Internet Explorer) du géant de Mountain View.

Dans une note publiée sur son Weblog, Raff indique que cette vulnérabilité permettrait à des attaquants de dérober des données confidentielles ou d’installer des logiciels malveillants sur un système en vue de s’adonner à du phishing.

Concrètement, cette faille est localisée au niveau d’une API (Application Programming Interface) plutôt originale de la Toolbar qui permet de créer de nouveaux boutons dans le navigateur Web. Seulement, la boîte à outils de Google ne vérifie pas si l’image téléchargée pour créer le nouveau bouton provient d’une source légitime.

Et c’est là que le bât blesse puisque selon Raff, en usurpant l’image ainsi créée, des hackers peuvent télécharger du code malveillant sur le poste de sa cible afin de mener des tentatives d’hameçonnage.

Pour démontrer ses dires, Raff a publié sur son blog le code d’une preuve de concept (POC: Proof of concept) qui montre la possibilité d’une attaque par le biais du navigateur IE 7 utilisant la boîte à outils de Google.

Heureusement pour les utilisateurs de l’extension de Google, l’attaque est tout de même difficile à réaliser.

Dans un premier temps, la victime doit visiter un lien Web lui proposant de télécharger une image pour personnaliser les boutons de sa « toolbar » (ndlr: une fenêtre pop-up s’ouvre). À cause de la faille, cette fenêtre semble légitime, tout y est, logo officiel de Google, fausse adresse de téléchargement. L’arnaque est réellement invisible pour le quidam.

Les problèmes commencent une fois ledit bouton installé. Si l’utilisateur clique dessus une fenêtre s’ouvre lui proposant de télécharger un fichier .exe bourré de code malveillant, que les hackers vont présenter comme une mise à jour.

Google a corrigé cette faille quelques heures après la publication du chercheur Aviv Raff.