Usługa pocztowa Google Gmail może „pochwalić się” luką, która pozwala atakującemu stworzenie autentycznie wyglądającej strony internetowej podszywającej się pod oryginalnego Gmaila, co znaczne ułatwi przejęcie danych identyfikacyjnych.

Google Calendar i inne usługi Google'a są również podatne na podobny atak.

Przykład zastosowania luki został opublikowany przez Adriana Pastora z grupy GNUCitizen. Udało mu się wykorzystać domenę google.com, na którą wstrzyknął złośliwy kod. W wyniku tego stworzył on fałszywą stronę usługi Gmail, która ułatwiała pobieranie identyfikatorów i haseł użytkowników. Fałszywa strona znajdowała się (jeszcze w czasie pisania tego materiału) pod adresem: http://mail.google.com/imgres?imgurl=http://SecureGoogleMail&imgrefurl=http%3a%2f%2fsnipurl.com/482f3.

Rzecznik Google'a poinformował, iż specjaliści z jego firmy badają zgłoszenie luki.