Milan Kryl

Kryl Blog - RSS

Gmail - veřejně dostupný seznam kontaktů

05. 01. 2007 - 06:15

Díky plně javascriptovému zpracování se Gmail dočkal v letošním roce další zranitelnosti. Tentokrát šlo o získání kompletního seznamu emailových kontaktů přihlášeného uživatele. Protože jsou automaticky ukládány, tak každý účet má pěknou řádku emailů, se kterými je v kontaktu.

Popis zranitelnosti

Gmail LogoVe všech třech prohlížečích (IE7, Mozilla, Opera) bylo možné získat všechny kontakty přihlášeného uživatele. Stačilo se během přihlášení do Gmailu dostat na stránku, která tyto kontakty sbírá.

Kontakty byly totiž uloženy přímo v JavaScriptovém kódu a formátu JSON. Díky předefinování funkce google() a jejím volání v útočné stránce bylo možné ke kontaktům přistoupit a libovolně s nimi naložit.

Mělo by být už opraveno

Tato chyba již není funkční a měla by být zcela opravena. Pokud se Vám podaří najít nějakou další skulinku v bezpečnosti, tak Vám bude Google vděčný za upozornění a zatajení informací aspoň do doby, než bude chyba odstraněna. Korektní jednání může vést až k nabídce práce přímo u Google nebo aspoň ke zveřejnění Vašeho jména na stránkách bezpečnostního týmu Google.

Další bezpečnostní chyba

Možnost odcizení kontaktů se již jednou v minulosti právě u služby Gmail objevilo, stejně tak i další útoky na citlivá data uživatelů například chyba u emailů s tečkou. Podle bezpečnostních analytiků budou v letošním roce podobné chyby týkající se AJAXových aplikací mnohem častější. Jednou ze zajímavých možností může být aSSL (Ajax Secure Service Layer).

Související články

 

Líbilo se? Přidejte do Linkuj.cz | del.icio.us | vybrali.sme.sk | Přidat RSS blogu do Google

Tip: Nevíte čím obdarovat nejbližší? Nechte je napsat Ježíškovi.

Související