Google пожертвовал безопасностью своей главной страницы ради первоапрельской шутки

1 апреля Google в качестве шутки показывала пользователям «зеркальное отражение» своей главной страницы. Как сообщает компания Netcraft, занимающаяся вопросами безопасности, ради этого поисковик отключил на своём сайте защиту от серьёзной уязвимости.

Как отмечает Netcraft в опубликованном 17 апреля отчёте, уязвимостью на сайте Google, вероятно, никто не успел воспользоваться, однако в случае быстрого обнаружения она могла бы представлять серьёзную опасность для пользователей.

По словам представителей фирмы, чтобы создать эффект отражения на «зеркальном» домене com.google, сотрудники поисковика с помощью параметра «igu=2» отключили на google.com заголовок X-Frame-Options, который препятствует отображению главной страницы Google на других сайтах.

Таким образом ради первоапрельской шутки программисты корпорации открыли на google.com уязвимость под названием clickjacking (дословно «угон кликов»). С её помощью злоумышленники могли вынуждать пользователей нажимать на различные кнопки с посторонних сайтов, думая, что они находятся на Google, а также «подкладывать» скрытый интерфейс страницы под видимый, делая результаты кликов по кнопкам непредсказуемыми. В частности, уязвимость позволяла без ведома пользователя полностью отключать у него все поисковые фильтры.

Netcraft предполагает, что снижение уровня безопасности не было случайным, так как для шутки Google самой понадобилось воспользоваться clickjacking, и она была вынуждена отключить эту защиту полностью. Проблему можно было бы решить другим путём, однако он оказался бы слишком трудоёмким.

«Кликджекингу» зачастую подвергаются и другие крупные сервисы вроде PayPal или Facebook. Например, в использовании этой уязвимости в начале апреля заподозрили производителя водки Absolut или её партнёров. Тогда пользователи Facebook массово подписывались на страницу Absolut в соцсети, не зная, что нажимают лайк, предположительно выполняя действия на каком-то другом сайте.