Twórcy Gadu-Gadu załatali lukę typu XSS

27-02-2011, 19:19

Luki umożliwiające atak XSS (ang. cross-site scripting) nie należą do rzadkości, a im większy zasięg ma dana usługa, tym większych należy spodziewać się szkód. Mimo to nie ustrzegli się ich nawet najpoważniejsi gracze polskiego rynku, tacy jak Allegro, Onet czy Nasza Klasa. Ostatnio z tego typu dziurą rozprawili się także twórcy komunikatora Gadu-Gadu.

O atakach XSS pisaliśmy w Dzienniku Internautów nieraz. Z reguły chodzi w nich o wprowadzenie złośliwego kodu w oryginalną treść witryny, co w najlepszym przypadku może spowodować wyświetlanie irytujących komunikatów, ale bywa też stosowane do przekierowywania użytkowników na inne strony czy wykradania informacji przechowywanych w ciasteczkach (ang. cookies).

Wszystkich domorosłych "hakerów" ostrzegamy, że osoby dopuszczające się takich czynów mogą ponieść odpowiedzialność cywilną lub karną, o czym piszemy więcej w artykułach: Szukać luk, nie łamiąc prawa oraz Co może grozić za atak XSS.

>> Czytaj więcej o atakach XSS na DI

Luka, o której wspomnieliśmy na wstępie, została już na szczęście załatana i to - jak informuje jej odkrywca - zaledwie w kilka godzin po zgłoszeniu. Na błąd podatna była każda wersja Gadu-Gadu 10.x oraz mobilna wersja serwisu GG.pl. Dlaczego w ogóle popularny wśród Polaków komunikator okazał się podatny na atak XSS?

Jak twierdzą inicjatorzy Akcji Słońce, na których blogu znajduje się dokładny opis luki, GG10 bliżej ma do spełnienia standardów webowych niż do standardów komunikatora i korzysta z silnika Webkit do wyświetlania niemal każdej zakładki, wcześniej pobierając dane z serwerów GG Network. Osadzenie niepożądanego kodu było możliwe po zalogowaniu się do serwisu GG.pl (należało wkleić go na swojej "ścianie"). Kod wykonywany był na zakładce Pulpit w programie GG10 u wszystkich osób, które miały atakującego na liście kontaktów.

Odkrywca luki podał kilka przykładów jej wykorzystania - od wyświetlenia w pętli denerwującego komunikatu, poprzez wysłanie do użytkowników informacji typu "Zaktualizuj Gadu-Gadu!" i zwabienie ich na złośliwą stronę, po zmuszenie programu antywirusowego do potraktowania GG10 jako zagrożenia, które trzeba zablokować (zob. XSS w GG10 na blogu Akcji Słońce).

Jak wspomnieliśmy, twórcy komunikatora szybko zareagowali na zgłoszenie i błąd został już załatany. Warto zauważyć, że nie jest to pierwsza usunięta w tym roku podatność związana z Gadu-Gadu. Na początku stycznia informowaliśmy o likwidacji luki, która pozwalała na pobranie tzw. live streamu dowolnego użytkownika, nawet jeśli nie miało się go na swojej liście kontaktów.

>> Czytaj więcej: GG.pl załatało lukę naruszającą prywatność użytkowników


Źródło: Akcja Słońce, Dziennik Internautów
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy