Gmail eltérítés

2008. november 24. 11:09 - Csizmazia Darab István [Rambo]

Van új a nap alatt, mindig sikerül rácsodálkozni az egyre újabb és furmányosabb trükökkre. Ezúttal emberünk bemutatja, hogyan továbbít magának leveleket idegen postafiókból, és töröl ki az illető G-Mail-es Inboxából annak tudta nélkül.

Ha valaki képes megszerezni azokat a változókat, amelyek a levelezéskor a felhasználó nevünket reprezentálja a Gmail szerverrel való kommunikációnál, akkor fel tudja használni. A böngésző ezeket elrejti az átlag felhasználó szemei elől, de ha valaki kíváncsi, az ilyen turkáláshoz kiváló eszköz lehet a LiveHTTPHeaders plugin a Firefoxhoz, amely a HTTP kérések fejlécadatait tudja teljes részletességgel megmutatni.

Ezt a változót sikerülhet kinyerni az áldozat gépéből, ha rávesszük, látogasson meg egy kártékony kódot tartalmazó weboldalt. Igen kevesen lépnek ki azonnal és törlik az oldalhoz tartozó cookiejaikat, amikor már nem használják az adott szolgáltatást, ezért működhet a dolog. A Geekcondition oldalon részletesebben bemutatják a módszert, ami egy szűrő segítségével az üzeneteket arra kényszeríti, ne érkezzenek meg a bejövő postafiókba, továbbítódjanak a támadó címére, végül pedig törlődjenek ki nyomtalanul a megtámadott postafiókból. A dolog veszélye, hogy a manipuláció igen nehezen észlelhető. A sebezhetőséget alapvetően az okozta, hogy néhány ember elvesztette a domain nevét, amelyet korábban a GoDaddy.com-nál regisztrált.

Addig is mindenki ellenőrizze rendszeresen a G-mailes levelezésében működő szűrőket. És biztos unalmasan hangzik - kicsit olyan mint a gyógyszerreklámoknál a TV-ben elhadart: "Ésamellékhatásoktekintetébenkérdezzemegorvosátgyógyszerészét" - de mi is csak ismételni tudjuk magunkat: a NoScript pluginnel mindez nem történt volna meg.

6 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr54785506

Trackbackek, pingbackek:

Trackback: BuheraBlog 2008.11.25. 10:22:58

Filterezés a GmaillelRambo már írt egy kis összefoglalót a külföldi blogszférát lázban tartó "problémáról", melynek segítségével több GoDaddy-s domian név fölött is sikerült átvenni az irányítást az illetékteleneknek. Én kezdetben úgy állta…

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

penge™ · http://www.thevenusproject.com/ 2008.11.24. 12:16:31

Ez HTTPS esetén is működik? Illetve minden böngészőnél?
A nehéz észrevenni alatt azt érted, hogy látható nyomot hagy a beállításokban egy szabály formájában, tehát csak az nem veszi észre, aki nem nézi meg a szűrőit?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.11.24. 16:09:12

Szia!

A HTTPS arra jó, hogy ne clear textben utazzon a jelszó. Ám ettől függetlenül a session cookie még ellopható.

És igen, egy átlag juzer valószínűleg azt sem tudja, mi az a Gmail szűrő, nem hogy rendszeresen ellenőrizné azokat...

4th05 (törölt) 2008.11.24. 20:52:19

Megint feltalálták a CSRF-et (XSRF)? Tavaly ősszel olvastam legutóbb, hogy egy kártékony oldal szűrőt tud létrehozni egy aktív Google session-nel rendelkező látogató postafiókjában, és már rég kijavították. Esetleg egy működő exploitot láthatnánk?

A hír tavalyról: pcforum.hu/hirek/10727/Barki+beleolvashat+Gmail+leveleinkbe.html (fenn volt HUP-on is).

A leírt módszer (rejtett iframe-be betölteni egy preparált request-et) pontosan a CSRF legegyszerűbb változata.

Vidi Rita · http://www.hosnok.hu 2008.11.25. 14:55:42

hát nemtom.. egyedül vagyok a google cuccok használatával kapcsolatos fenntartásaimmal?
na mindegy, ezen nem elmélkedem, az viszont tény, hogy a noscript egy isten áldása ezekben az exploit-zivataros időkben:)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.11.25. 21:08:08

Szia 4th05!
Lényegében igen, Buherátor közben szépen összefoglalta a dolgokat.
A tavalyi esetnél én ezt ismertem:
www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.11.25. 21:20:47

Szia Rita!

Fenntartásai mindenkinek vannak, de az élet tele van kompromisszumokkal. Hogy egy konkrét példával éljek: ismerősnek saját domainje van, de csak 300 MB tárhely jár hozzá külön a levelekhez. Amióta a főníciaiak ;-) feltalálták a spamet, azóta ez ugyebár smafu. Emiatt kétszer is leállt már a levelezése, utóbb kiderült, elfogyott a kvóta, tombolt dühében, mert épp fontos külföldi levelet várt. Később felemelték neki 500 MB-ra, de néhány hónap után az is beállt mégegyszer hasonló okok miatt. Ehhez ugyebár elég néhány idióta is, aki elég gyakran megszór vicces videókkal, világmegváltó PPT-kkel.

Utána fogta magát, befűzte a levelezését a Gmail alá, és ettől kezdve a spamszűrési gond megszűnt, és 7 GB az meg 7 GB. Az hogy a Google nagy tesó esetleg belenézhet, meg hogy vannak ennek veszélyei - még ha nem is rengeteg - ez nem érdekli, és én egy cseppet sem csodálkozom rajta: most elégedett, öröm és bódottá van nála.

Ezzel csak azt akartam mondani, hogy mindig van oka annak, hogy emberek milyen motivációk miatt döntenek úgy, ahogy döntenek: Herbert Spencer is ezt írta az Alapvető elvekben :-)