Krytyczny błąd w Gadu-Gadu

Wykryta we wtorek dziura w zabezpieczeniach Gadu-Gadu okazała się poważna. Błąd w kodzie źródłowym pozwalał hakerom na zdalne uruchamianie plików na komputerach użytkowników GG.


Jak poinformował Niebezpiecznik.pl, atak z wykorzystaniem Gadu-Gadu polega na odpowiednim nazwaniu przesyłanego do użytkownika pliku.

Exploit na GG: złośliwy kod w nazwie pliku

Wystarczyło umieścić w nazwie pliku odpowiedni kod HTML/JavaScript. Haker otrzymywał z jego pomocą dostęp do interfejsu GG i mógł w zdalny sposób pobrać i uruchomić dowolne pliki na komputerze innego użytkownika.

Exploit na Gadu-Gadu został udostępniony przez Kacpra Szcześniaka na liście dyskusyjnej Full Disclosure. Jak się okazało, atakiem zagrożone były wszystkie oficjalne wersje klienta GG.

Reakcja Gadu-Gadu

Niedługo po informacji o błędzie w komunikatorze Gadu-Gadu, głos w sprawie zabrał Jarek Rybus, rzecznik prasowy GG Network.

Jarek Rybus, GG Network

Natychmiast po otrzymaniu zgłoszenia przystąpiliśmy do intensywnych prac, aby znaleźć zagrożenie i wprowadzić poprawkę tak szybko, jak to możliwe. I mam dobrą informację - w kilka godzin udało nam się już wdrożyć poprawkę, załatała ona dziurę w bezpieczeństwie.

Będziemy jeszcze przyglądać się tej sprawie. Dodam, że problem ten nie dotyczył wersji mobilnych GG, ani wersji Web Gadu.

GG jest już bezpieczne, ale malware instalujący się bez udziału użytkownika, budzi zrozumiały lęk. Podobny atak miał niedawno miejsce na Hotmailu, gdzie otwarcie wiadomości e-mail automatycznie uruchamiało złośliwy kod.