Luka w usłudze Gmail

Wczoraj na blogu GeekCondition.com została zamieszczona informacja o tym, że popularna usługa Gmail jest podatna na atak. Miałby on polegać na ustawieniu w opcjach konta użytkownika usługi filtru wiadomości. Dzięki temu, określone e-maile mogłyby być usuwane ze skrzynki odbiorczej bez wiedzy jej właściciela. Na stronie przedstawiono w skrócie sposób w jaki można dokonać takiego ataku.

Jak podaje autor wpisu kiedy tworzy się filtry wiadomości w usłudze Gmail, do serwerów Google wysyłane jest żądanie jego utworzenia. Wygląda ono jak odnośnik z wieloma zmiennymi. Ze względów bezpieczeństwa przeglądarka nie wyświetla tych wszystkich zmiennych. Jednak przy wykorzystaniu wtyczki do Firefoksa o nazwie "Live HTTP Headers" możliwe jest podpatrzenie dokładnie tego, co jest przesyłane pomiędzy komputerem a serwerem. Jedynym zadaniem hakera pozostaje identyfikacja zmiennych, pod którymi ukryta jest nazwa właściciela konta.

Autor informuje, że aby tego dokonać potrzeba kilku sztuczek. Nie podaje on ich dokładnie jednak stwierdza, że jest możliwe znalezienie ich w Internecie.

Aby nie paść ofiarą tego typu ataku, należy często sprawdzać dane określające działanie filtrów. Użytkownicy Firefoksa mogą pobrać wtyczkę NoScript, która zapobiega takim atakom.

Google nie skomentowało jeszcze tej sprawy.


Zobacz również