[Gmail] Dziura z 2007 roku nadal niebezpieczna

[Gmail] Dziura z 2007 roku nadal niebezpieczna

Paweł Cebula
05.03.2009 16:00

Użytkownicy Gmaila mają prawo odczuwać pewien dyskomfort z powodu świadomości istnienia luki, która de facto może przyczynić się do przejęcia kontroli nad kontem. Najgorsze jest to, że wykryta ona została w lipcu 2007 r., a Google nadal nic nie zrobiło z tym fantem.

Użytkownicy Gmaila mają prawo odczuwać pewien dyskomfort z powodu świadomości istnienia luki, która de facto może przyczynić się do przejęcia kontroli nad kontem. Najgorsze jest to, że wykryta ona została w lipcu 2007 r., a Google nadal nic nie zrobiło z tym fantem.

Aby potwierdzić faktycznie istnienie luki jedna z osób postanowiła napisać kod, który pozwala na przeprowadzenie ataku CSRF (cross-site request forgery), a w efekcie zdobyć hasło użytkownika poczty.

Problem dotyczy elementu odpowiedzialnego za zmianę hasła do poczty. Jego konstrukcja pozwala na skorzystanie z okazji i wyciągnięcie istotnych informacji dotyczących sesji, które zachowywane są w plikach cookie.

Atak wygląda banalnie - należy wysłać odpowiednią wiadomość e-mail do ofiary, zamieszczając adres spreparowanej strony www. W efekcie, jeżeli użytkownik nadal będzie zalogowany do Gmaila, to atakujący otrzyma możliwość dostępu do konta.

Można powiedzieć „to tylko poczta”, ale tak naprawdę adres e-mail jest naszym identyfikatorem, wykorzystujemy go do logowania do bardzo wielu stron internetowych, nie wspominając już nawet o tym, że na naszych kontach mamy naprawdę mnóstwo bardzo istotnych wiadomości, których treść mogłaby wpaść w niepowołane ręce.

Źródło: Media2

Źródło artykułu:WP Gadżetomania
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (0)