Gmail - veřejně dostupný seznam kontaktů
Díky plně javascriptovému zpracování se Gmail dočkal v letošním roce další zranitelnosti. Tentokrát šlo o získání kompletního seznamu emailových kontaktů přihlášeného uživatele. Protože jsou automaticky ukládány, tak každý účet má pěknou řádku emailů, se kterými je v kontaktu.
Popis zranitelnosti
Ve všech třech prohlížečích (IE7, Mozilla, Opera) bylo možné získat všechny kontakty přihlášeného uživatele. Stačilo se během přihlášení do Gmailu dostat na stránku, která tyto kontakty sbírá.
Kontakty byly totiž uloženy přímo v JavaScriptovém kódu a formátu JSON. Díky předefinování funkce google() a jejím volání v útočné stránce bylo možné ke kontaktům přistoupit a libovolně s nimi naložit.
Mělo by být už opraveno
Tato chyba již není funkční a měla by být zcela opravena. Pokud se Vám podaří najít nějakou další skulinku v bezpečnosti, tak Vám bude Google vděčný za upozornění a zatajení informací aspoň do doby, než bude chyba odstraněna. Korektní jednání může vést až k nabídce práce přímo u Google nebo aspoň ke zveřejnění Vašeho jména na stránkách bezpečnostního týmu Google.
Další bezpečnostní chyba
Možnost odcizení kontaktů se již jednou v minulosti právě u služby Gmail objevilo, stejně tak i další útoky na citlivá data uživatelů například chyba u emailů s tečkou. Podle bezpečnostních analytiků budou v letošním roce podobné chyby týkající se AJAXových aplikací mnohem častější. Jednou ze zajímavých možností může být aSSL (Ajax Secure Service Layer).
Související články
- Tech Reads - GMail Vulnerable To Contact List Hijacking
- Matt Cutts - Contacts handled properly
- Crypto-World - Největší hrozby webovským aplikacím v roce 2007
Tip: Krátké zprávy a zajímavosti (rychlý přístup https://kryl.info/kratce)
Související
- Ztracená pošta na Gmailu (04. 01. 2007 16:46)
- Google - ztráta kontroly (14. 05. 2006 10:51)
- Tečka - bezpečnostní chyba v Gmailu (22. 01. 2006 18:51)