Groźna luka w usłudze Gmail

Luka w zabezpieczeniach poczty Gmail ma umożliwiać napastnikom tworzenie własnych filtrów w skrzynce pocztowej ofiary, co z kolei może prowadzić do przesyłania określonych e-maili odbieranych w tej skrzynce na adres napastnika.

Obecnie znane są już doniesienia o udanych atakach, w którym ta luka została wykorzystana w celu przejęcia kontroli nad domeną należącą do ofiary ataku. W istocie luka polega na usterce typu Cross-Site Request Forgery (CSRF), w której inna witryna ustawia filtr w usłudze Gmail. W tym celu ofiara musi mieć otwarte okno poczty Gmail i być w trakcie uwierzytelnionej sesji w przeglądarce, a w drugim oknie otworzyć zmanipulowaną stronę.

Kiedy filtr zostaje ustawiony, napastnik na stronach zarządzania domenami musi wywołać funkcję przywracania hasła zarządzania domeną, a następnie w e-mailu otrzymuje przewidziane tak naprawdę dla ofiary instrukcje, które pozwalają na uzyskanie nowego hasła.

Reklama

Tym samym ma on możliwość przejęcia kontroli nad kontem i przypisaną do niego domeną, a następnie może przetransferować tę domenę lub udostępnić ją komuś innemu.

Bardzo podobna luka pojawiła się w połowie 2007 roku w tej samej usłudze. Według doniesień mediów ona także wykorzystywała przekierowywanie e-maili za pomocą filtrów. Do tej pory jednak wydawało się, że koncern Google w swoim czasie już usunął tę lukę.

Teraz wygląda na to, że tak się nie stało, albowiem według analiz Google wciąż jeszcze używa uwierzytelniania polegającego na sesji, a nie na żądaniach HTTP. Ta druga metoda jest skuteczniejsza w zapobieganiu atakom CSRF, ponieważ napastnik musi w niej dodatkowo odgadnąć identyfikator dopisywany do ścieżki każdego ważnego wywołania HTTP.

Rozwiązania problemu jeszcze nie odnaleziono. Użytkownicy mogą się sami chronić przed tego rodzaju atakami, używając wtyczki NoScript, która stara się rozpoznawać i blokować podejrzane wywołania. Poza tym wtyczka ta może chronić także przed atakami typu Cross-Site Scripting. Niestety, z ochrony, którą daje takie narzędzie, mogą się cieszyć jedynie użytkownicy przeglądarki Firefox.

HeiseOnline
Dowiedz się więcej na temat: luka
Reklama
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy