Groźna luka w usłudze Gmail

Obecnie znane są już doniesienia o udanych atakach, w którym ta luka została wykorzystana w celu przejęcia kontroli nad domeną należącą do ofiary ataku. W istocie luka polega na usterce typu Cross-Site Request Forgery (CSRF), w której inna witryna ustawia filtr w usłudze Gmail. W tym celu ofiara musi mieć otwarte okno poczty Gmail i być w trakcie uwierzytelnionej sesji w przeglądarce, a w drugim oknie otworzyć zmanipulowaną stronę.

Kiedy filtr zostaje ustawiony, napastnik na stronach zarządzania domenami musi wywołać funkcję przywracania hasła zarządzania domeną, a następnie w e-mailu otrzymuje przewidziane tak naprawdę dla ofiary instrukcje, które pozwalają na uzyskanie nowego hasła.

Tym samym ma on możliwość przejęcia kontroli nad kontem i przypisaną do niego domeną, a następnie może przetransferować tę domenę lub udostępnić ją komuś innemu.

Bardzo podobna luka pojawiła się w połowie 2007 roku w tej samej usłudze. Według doniesień mediów ona także wykorzystywała przekierowywanie e-maili za pomocą filtrów. Do tej pory jednak wydawało się, że koncern Google w swoim czasie już usunął tę lukę.

Teraz wygląda na to, że tak się nie stało, albowiem według analiz Google wciąż jeszcze używa uwierzytelniania polegającego na sesji, a nie na żądaniach HTTP. Ta druga metoda jest skuteczniejsza w zapobieganiu atakom CSRF, ponieważ napastnik musi w niej dodatkowo odgadnąć identyfikator dopisywany do ścieżki każdego ważnego wywołania HTTP.

Rozwiązania problemu jeszcze nie odnaleziono. Użytkownicy mogą się sami chronić przed tego rodzaju atakami, używając wtyczki NoScript, która stara się rozpoznawać i blokować podejrzane wywołania. Poza tym wtyczka ta może chronić także przed atakami typu Cross-Site Scripting. Niestety, z ochrony, którą daje takie narzędzie, mogą się cieszyć jedynie użytkownicy przeglądarki Firefox.