Kann Googles „Public Search Service“ für Phishing-Zwecke missbraucht werden? Eine Lücke in der Programmierung macht dies offensichtlich derzeit möglich, wie Eric Farraro feststellte. Durch das Hosting auf der google.com-Domain entsteht tatsächlich der Eindruck, man sende seine Logindaten an Google, was aber offensichtlich falsch ist.
Ein Proof of Concept zeigt Eric unter http://www.google.com/u/gplus. Wer auf Nummer sicher gehen will, gibt dort aber natürlich nicht seine echten Logindaten ein, sondern probiert es mit falschen Angaben…
Immerhin: Google wurde von Eric bereits informiert und hat offensichtlich Neuanmeldungen für den „Public Search Service“ deaktiviert.
(via Google Blogoscoped)
