Niebezpieczna luka odkryta w Gadu-Gadu. Jak ustrzec się zagrożenia?

Najpopularniejszy w Polsce komunikator kolejny raz okazuje się mało bezpieczną aplikacją. Odkryto nową, groźną dla użytkowników lukę.

Gadu-Gadu nie ma szczęścia. W listopadzie informowaliśmy o niebezpieczeństwie wynikającym z dostępu nieuprawnionych osób do naszych danych. Niedługo później odkryto kolejną, naruszającą prywatność użytkowników lukę. Nowe zagrożenie jest jednak znacznie poważniejsze.

Jak informuje serwis Niebezpiecznik, funkcje przesyłania i odbierania plików nie działają poprawnie, umożliwiając zdalne wykonanie kodu na komputerze ofiary korzystającej z oryginalnego GG.

Luka, odkryta i opisana przez Kacpra Szczęśniaka, polega na odpowiednim nazwaniu przesyłanego ofierze pliku. W jego nazwie można wykorzystać maksymalnie 255 znaków, które mogą zawierać kod HTML i JavaScript.

Dzięki temu możliwe jest sterowanie funkcjami klienta GG, w tym m.in. zapisanie i uruchomienie pliku. Pewną pociechą w tej sytuacji jest fakt, że aby odebrać plik, osoba wysyłająca musi znajdować się na naszej liście kontaktów.

Na atak podatne są wszystkie wersje oryginalnego klienta, w tym również najnowsze GG 10.5. Użytkownicy obsługujący protokół GG za pomocą innych komunikatorów nie mają tego problemu.

Jeśli zastanawiasz się, który z nich wybrać i uniknąć problemów, sprawdź opublikowany w kwietniu ranking komunikatorów. Nie ma na razie oficjalnego stanowiska GG w sprawie odkrytej luki, nie wiadomo zatem, kiedy i w jaki sposób błąd zostanie naprawiony.

Aktualizacja

Jak podał Dziennik Internautów, powołując się na rzecznika prasowego GG Network, luka w aplikacja została już załatana.

Źródło: Niebezpiecznik