Luka w Gmail - możliwa kradzież poczty
Marcin Maj 28-09-2007, 14:16
Usługa pocztowa Google - Gmail jest podatna na atak, który umożliwia przejęcie kontaktów i poczty odbieranej przez użytkownika. Specjalista Petko Petkov z grupy hackerskiej GNUCitizen zaprezentował kod proof-of-concept demonstrujący technikę ataku.
Mimo, że na razie istnieje tylko kod proof-of-concept, specjaliści wydają się nie mieć wątpliwości co do tego, ze luka jest bardzo niebezpieczna.
Do ataku może dojść, jeśli ofiara jest zalogowana w Gmail i jednocześnie (np. w drugiej zakładce) odwiedza specjalnie przygotowaną stronę internetową. Po kliknięciu w odpowiednio przygotowany odnośnik, atakujący może uzyskać dostęp do ciasteczek sesji Gmaila i dodać do konta użytkownika filtr, który będzie przekazywał przychodzące wiadomości (z załącznikami) na wybrane konto POP.
Petkov ostrzega, że nawet jeśli luka zostanie załatana, użytkownicy zaatakowani wcześniej nadal będą narażeni na utratę poczty - ustawiony w ich profilu filtr nadal będzie działał. Sprawę dodatkowo komplikuje fakt, że ciasteczka GMaila mają aż dwuletni okres ważności.
Proponowanym przez specjalistów sposobem ochrony przed atakiem jest korzystanie z przeglądarki Firefox, w której zostanie wyłączona obsługa JavaScript. Oczywiście takie rozwiązanie może ograniczyć dostęp użytkownika do części funkcji niektórych stron internetowych.
Luka została już zgłoszona do Google. Szczegóły na jej temat nie zostały opublikowane. Nie wiadomo, czy dokonanie ataku z jej wykorzystaniem jest jeszcze możliwe. Specjaliści zwracają uwagę na fakt, że luka może być groźna nie tylko dla użytkowników domowych, ale także dla firm, których pracownicy przesyłają korespondencję służbową na prywatne konta.
Do ataku może dojść, jeśli ofiara jest zalogowana w Gmail i jednocześnie (np. w drugiej zakładce) odwiedza specjalnie przygotowaną stronę internetową. Po kliknięciu w odpowiednio przygotowany odnośnik, atakujący może uzyskać dostęp do ciasteczek sesji Gmaila i dodać do konta użytkownika filtr, który będzie przekazywał przychodzące wiadomości (z załącznikami) na wybrane konto POP.
Petkov ostrzega, że nawet jeśli luka zostanie załatana, użytkownicy zaatakowani wcześniej nadal będą narażeni na utratę poczty - ustawiony w ich profilu filtr nadal będzie działał. Sprawę dodatkowo komplikuje fakt, że ciasteczka GMaila mają aż dwuletni okres ważności.
Proponowanym przez specjalistów sposobem ochrony przed atakiem jest korzystanie z przeglądarki Firefox, w której zostanie wyłączona obsługa JavaScript. Oczywiście takie rozwiązanie może ograniczyć dostęp użytkownika do części funkcji niektórych stron internetowych.
Luka została już zgłoszona do Google. Szczegóły na jej temat nie zostały opublikowane. Nie wiadomo, czy dokonanie ataku z jej wykorzystaniem jest jeszcze możliwe. Specjaliści zwracają uwagę na fakt, że luka może być groźna nie tylko dla użytkowników domowych, ale także dla firm, których pracownicy przesyłają korespondencję służbową na prywatne konta.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
Ostatnie artykuły:
|
|
|
|
|
|
|
 |
Tematy pokrewne:
Petko Petkov Petko Petkov luki JavaScript Google GNUCitizen GNUCitizen Firefox
Petko Petkov Petko Petkov luki JavaScript Google GNUCitizen GNUCitizen Firefox« strona główna - do góry ^
Stopka
Publikacje
Nasze serwisy
Polecamy
© 1998-2024 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.