Gmail XSS vuln.

0
13

Значи вие имате поща в GMAIL? Или вие може просто да сте получили покана? Добре, ние имаме няколко лоши новина за вас : вашата поща е изложена на опасност. Дупка в сигурността в пощенската сервизна програма на Google, допуска пълен достъп до пощи на потребител, без нуждата от парола.

„Всичко може да бъде публично изложено – всичко във вашите пощи може да бъде прочетено – който и да е може да изпращя или получава поща под вашето име“, по този начин разкрива NIR GOLDSHLAGGER, израелски хакер, при ексклузивно интервю с NANA NETLIFE.“ Дори повече алармиращ е фактът, че самото проникване е доста елементарно. Всичко, което е нужно на злобният хакер, са познания за специфичната техника, и доста основни компютърни познания, потребителското име на жертвата – и това е, той е вътре“.

Когато съобщено на Google – те признаха дупката в сигурността. Google ни увери, че този проблем е решен, и че“ компанията ще отиде до краен предел за да защити своите потребители“.
Недостатъкът, който беше открит от GOLDSHLAGGER и беше тестван много пъти от редакторският съвет на NANA показа алармираща степен за успех. За да не застрашаваме собствениците на пощенски кутии, ние ще само разкрием, че процесът е основан на пробив в сигурност при идентификацията на идентичност. То позволява на хакерът да „грабне“ cookie файлът на жертвите използвайки изглеждащо невинна връзка (която се насочва към мястото на GMAIL). Веднъж откраднат, този cookie файл позволява на хакерът да се идентифицира като жертвата, без нуждата от парола. Дори ако жертвата промени своета парола после, това ще бъде от никаква полза.“ Системата идентифицира хакерът като жертвата, използвайки откраднатият cookie файл.Жертвата може да своета неговата парола толкова много пъти колкото си иска, и то все пак няма да спре хакерът от използване на неговата кутия“, обяснява GOLDSHLAGGER.

Дали хакери вече използуват този метод към пошите на потребителите?

Въпросите са няколко пъти по-лоши когато става въпрос за служба като GMAIL. Освен очевидният удар към изглеждащо безупречното изображение на Google, ние гледаме към главна заплаха към който и да е, който се възползва от GMAIL като негова главна електонна поща. „Защото GMAIL предлага гигабайт съхранение на файлове, няколко пъти по-големи отколкото повечето други уеб-базирана пощенски услуги, потребителите рядко изтриват каквато и да е стара кореспонденция“, казва GOLDSHLAGGER.“ Резултатът е грамадно количество поща натрупвайки се в кутиите на потребителите, които често включват известия на банка, пароли, частни документи и други файлове, които потребителят пази като архив.Който и да взиме владение на тази информация, може буквално да завземе животът на жертвата и идентичността“.

OFER ELZAM, експерт на сигурност за“ Аладин“, който проучи дупката в сигурността при заявката на NETLIFE на NANA, обяснява :“ това е главна заплаха, поради следните причини : първо – потребителите нямат никакъв начин за защитаване на пощата си. Второ – доста лесно е да изнесе навън информация , и трето – то допуска кражба на идентичност, която е сериозна опасност за жертвата“.

„От добра страна“, той прибави, „доброто нещо е това че, тази дупка беше намерена сега, преди услугата да беше официално обявена и предложена на света, милиони потребители. Аз смятам, че то е просто въпрос на време преди да е направен автоматичен инструмент които е на базата на тази дупка.Повредите, ненужно е да се споменава, можеше да бъдат грамадни“

Thanks to BioHunter

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари