Luka w Gmail - możliwa kradzież poczty
Usługa pocztowa Google - Gmail jest podatna na atak, który umożliwia przejęcie kontaktów i poczty odbieranej przez użytkownika. Specjalista Petko Petkov z grupy hackerskiej GNUCitizen zaprezentował kod proof-of-concept demonstrujący technikę ataku.
reklama
Mimo, że na razie istnieje tylko kod proof-of-concept, specjaliści wydają się nie mieć wątpliwości co do tego, ze luka jest bardzo niebezpieczna.
Do ataku może dojść, jeśli ofiara jest zalogowana w Gmail i jednocześnie (np. w drugiej zakładce) odwiedza specjalnie przygotowaną stronę internetową. Po kliknięciu w odpowiednio przygotowany odnośnik, atakujący może uzyskać dostęp do ciasteczek sesji Gmaila i dodać do konta użytkownika filtr, który będzie przekazywał przychodzące wiadomości (z załącznikami) na wybrane konto POP.
Petkov ostrzega, że nawet jeśli luka zostanie załatana, użytkownicy zaatakowani wcześniej nadal będą narażeni na utratę poczty - ustawiony w ich profilu filtr nadal będzie działał. Sprawę dodatkowo komplikuje fakt, że ciasteczka GMaila mają aż dwuletni okres ważności.
Proponowanym przez specjalistów sposobem ochrony przed atakiem jest korzystanie z przeglądarki Firefox, w której zostanie wyłączona obsługa JavaScript. Oczywiście takie rozwiązanie może ograniczyć dostęp użytkownika do części funkcji niektórych stron internetowych.
Luka została już zgłoszona do Google. Szczegóły na jej temat nie zostały opublikowane. Nie wiadomo, czy dokonanie ataku z jej wykorzystaniem jest jeszcze możliwe. Specjaliści zwracają uwagę na fakt, że luka może być groźna nie tylko dla użytkowników domowych, ale także dla firm, których pracownicy przesyłają korespondencję służbową na prywatne konta.