Biztonsági rés a Gmail levelezőben

Kristóf Csaba
2007. szeptember 28., 07:45
Nyomtatás
A Google szolgáltatásában komoly hibára derült fény, amely felhasználók leveleinek megtekintését teszi lehetővé.

Az utóbbi hetekben a sérülékenységekkel kapcsolatos hírekben gyakran felbukkant Petko Petkov angol biztonsági szakértő neve. Méghozzá nem is alaptalanul, hiszen nemrégen olyan sebezhetőségekről számolt be, amelyek a QuickTime multimédiás alkalmazást, a Firefox webböngészőt, a Windows Media Player szoftvert valamint a PDF formátumú dokumentumokat érintik. E biztonsági rések mindegyike komoly veszélyeket hordoz főleg azért, mert a befoltozásukon még jelenleg is dolgoznak a fejlesztők.

Petkov az általa felfedezett sebezhetőségek bejelentése után sem tétlenkedett, ugyanis a népszerű alkalmazások után a széles körben használt webes szolgáltatásokat vette górcső alá. Így talált rá a Gmail levelezőszolgáltatás egy meglehetősen súlyos sérülékenységére. A szakértő szerint a hiba speciálisan szerkesztett weboldalak révén használható ki. Egy sikeres támadáshoz szükséges, hogy a felhasználó belépjen a Gmail rendszerébe, majd úgy nyisson meg weboldalakat, hogy a levelezőszolgáltatásból nem jelentkezik ki. Amennyiben ilyenkor egy kártékony weboldalt tekint meg, akkor a támadók egy HTML form segítségével fájlokat tölthetnek fel az egyik Gmail API-n keresztül. Petkov szerint ezzel különböző szabályokat hozhatnak létre az áldozatul esett postafiókokhoz, és továbbíthatják az azokba érkező leveleket saját maguknak.

Petkov a hiba kihasználásához szükséges kódokat addig nem hozza nyilvánosságra, amíg a Google nem foltozza be a biztonsági rést. A Google jelenleg is vizsgálja a Petkov féle bejelentést, így hivatalosan még nem erősítette meg a sebezhetőség létezését.

Jeremy Grossman, a WhiteHat Security egyik vezetője a Gmail hiba kapcsán arra hívta fel a figyelmet, hogy a webes levelezőrendszerekben kezelt postafiókok több szempontból is értékesebbek lehetknek, mint például egy bankszámla. A szakembert ezt azzal magyarázta, hogy a postafiókokba számos rendszerből érezhetnek levelek, amelyek fontos és bizalmas információkat tartalmazhatnak a különböző online szolgáltatásokkal, webes vásárlásokkal, stb. kapcsolatban. Ráadásul a webes levelezők elleni támadások egyszerűek, sokszor észrevétlenek és nagyon "ötletesek" lehetnek.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.