Van új a nap alatt, mindig sikerül rácsodálkozni az egyre újabb és furmányosabb trükökkre. Ezúttal emberünk bemutatja, hogyan továbbít magának leveleket idegen postafiókból, és töröl ki az illető G-Mail-es Inboxából annak tudta nélkül.
Ha valaki képes megszerezni azokat a változókat, amelyek a levelezéskor a felhasználó nevünket reprezentálja a Gmail szerverrel való kommunikációnál, akkor fel tudja használni. A böngésző ezeket elrejti az átlag felhasználó szemei elől, de ha valaki kíváncsi, az ilyen turkáláshoz kiváló eszköz lehet a LiveHTTPHeaders plugin a Firefoxhoz, amely a HTTP kérések fejlécadatait tudja teljes részletességgel megmutatni.
Ezt a változót sikerülhet kinyerni az áldozat gépéből, ha rávesszük, látogasson meg egy kártékony kódot tartalmazó weboldalt. Igen kevesen lépnek ki azonnal és törlik az oldalhoz tartozó cookiejaikat, amikor már nem használják az adott szolgáltatást, ezért működhet a dolog. A Geekcondition oldalon részletesebben bemutatják a módszert, ami egy szűrő segítségével az üzeneteket arra kényszeríti, ne érkezzenek meg a bejövő postafiókba, továbbítódjanak a támadó címére, végül pedig törlődjenek ki nyomtalanul a megtámadott postafiókból. A dolog veszélye, hogy a manipuláció igen nehezen észlelhető. A sebezhetőséget alapvetően az okozta, hogy néhány ember elvesztette a domain nevét, amelyet korábban a GoDaddy.com-nál regisztrált.
Addig is mindenki ellenőrizze rendszeresen a G-mailes levelezésében működő szűrőket. És biztos unalmasan hangzik - kicsit olyan mint a gyógyszerreklámoknál a TV-ben elhadart: "Ésamellékhatásoktekintetébenkérdezzemegorvosátgyógyszerészét" - de mi is csak ismételni tudjuk magunkat: a NoScript pluginnel mindez nem történt volna meg.
penge™ · http://www.thevenusproject.com/ 2008.11.24. 12:16:31
A nehéz észrevenni alatt azt érted, hogy látható nyomot hagy a beállításokban egy szabály formájában, tehát csak az nem veszi észre, aki nem nézi meg a szűrőit?
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.11.24. 16:09:12
A HTTPS arra jó, hogy ne clear textben utazzon a jelszó. Ám ettől függetlenül a session cookie még ellopható.
És igen, egy átlag juzer valószínűleg azt sem tudja, mi az a Gmail szűrő, nem hogy rendszeresen ellenőrizné azokat...
4th05 (törölt) 2008.11.24. 20:52:19
A hír tavalyról: pcforum.hu/hirek/10727/Barki+beleolvashat+Gmail+leveleinkbe.html (fenn volt HUP-on is).
A leírt módszer (rejtett iframe-be betölteni egy preparált request-et) pontosan a CSRF legegyszerűbb változata.
Vidi Rita · http://www.hosnok.hu 2008.11.25. 14:55:42
na mindegy, ezen nem elmélkedem, az viszont tény, hogy a noscript egy isten áldása ezekben az exploit-zivataros időkben:)
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.11.25. 21:08:08
Lényegében igen, Buherátor közben szépen összefoglalta a dolgokat.
A tavalyi esetnél én ezt ismertem:
www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.11.25. 21:20:47
Fenntartásai mindenkinek vannak, de az élet tele van kompromisszumokkal. Hogy egy konkrét példával éljek: ismerősnek saját domainje van, de csak 300 MB tárhely jár hozzá külön a levelekhez. Amióta a főníciaiak ;-) feltalálták a spamet, azóta ez ugyebár smafu. Emiatt kétszer is leállt már a levelezése, utóbb kiderült, elfogyott a kvóta, tombolt dühében, mert épp fontos külföldi levelet várt. Később felemelték neki 500 MB-ra, de néhány hónap után az is beállt mégegyszer hasonló okok miatt. Ehhez ugyebár elég néhány idióta is, aki elég gyakran megszór vicces videókkal, világmegváltó PPT-kkel.
Utána fogta magát, befűzte a levelezését a Gmail alá, és ettől kezdve a spamszűrési gond megszűnt, és 7 GB az meg 7 GB. Az hogy a Google nagy tesó esetleg belenézhet, meg hogy vannak ennek veszélyei - még ha nem is rengeteg - ez nem érdekli, és én egy cseppet sem csodálkozom rajta: most elégedett, öröm és bódottá van nála.
Ezzel csak azt akartam mondani, hogy mindig van oka annak, hogy emberek milyen motivációk miatt döntenek úgy, ahogy döntenek: Herbert Spencer is ezt írta az Alapvető elvekben :-)