The Marker IT

מישהו קורא אותך: נקודת תורפה חדשה ב-Gmail מאפשרת להאקרים לגנוב הודעות דוא"ל

ההאקרים יכולים לקרוא את הדואר שלכם | צלם: TheMarker

מומחה אבטחה בריטי חשף שיטה באמצעותה ניתן להעביר באופן בלתי מורשה הודעות מחשבון ה-Gmail לכתובת דוא"ל חיצונית

02.10.07 | 11:27 IDG
Internet | Security | Google

מומחה אבטחה בריטי טוען כי האקרים יכולים לפרוץ בקלות לחשבונות Gmail של גוגל ולגרום להעברתן של כל ההודעות, קיימות ועתידיות, לתיבת דוא"ל לפי בחירתם.

"המתקפה מתחילה כאשר הקורבן מבקר באתר אינטרנט זדוני בשעה שהוא עדיין מחובר לחשבון ה-Gmail שלו. בשלב זה אתר האינטרנט הזדוני מחדיר מסנן (פילטר) מזויף לתוך רשימת המסננים החוקיים של חשבון הדוא"ל"

הבאג ב-Gmail, שזכה לכינוי cross-site request forgery, או בקיצור CSRF, נחשף ביום שלישי על ידי פטקו פטקוב, המתמחה במציאת נקודות תורפה בשירותים אינטרנטיים, ששמו נמצא לאחרונה לא מעט בכותרות. במהלך השבועיים האחרונים פרסם פטקוב באופן פומבי מידע על באגים קריטיים בנגן ה-Quicktime של אפל, בנגן המדיה של מיקרוסופט לחלונות, וב-PDF של אדובי.

לדבריו של פטקוב, האקרים יכולים לעשות שימוש במאפיין הסינון (filtering) של Gmail על מנת לנצל לרעה את הבאג המדובר. לטענתו, המתקפה מתחילה כאשר הקורבן מבקר באתר אינטרנט זדוני בעוד הוא עדיין מחובר לחשבון ה-Gmail שלו. בשלב זה אתר האינטרנט הזדוני יבצע פעולה בשם "multipart/form-date POST" - פקודת HTML בה ניתן לעשות שימוש על מנת להעלות קבצים - תוך שהוא מחדיר מסנן (פילטר) מזויף לתוך רשימת המסננים החוקיים של חשבון הדוא"ל.

פטקוב פרסם באתר Gnucitizen.org סדרה של תמונות מסך הממחישות כיצד ניתן לבצע את המתקפה. "בדוגמא, התוקף כותב מסנן משלו, שפשוט מחפש הודעות דוא"ל המכילות קבצים מצורפים, ומעביר אותן לכתובת דוא"ל אחרת לפי בחירתו", הסביר פטקוב. "המסנן הזדוני יעביר באופן אוטומטי כל הודעה שתואמת את הכלל שהוגדר".

"יש לזכור שגם הודעות עתידיות תועברנה לכתובת אותה הגדיר התוקף. המתקפה תשאר פעילה כל עוד המסנן קיים בתוך רשימת המסננים, גם אם נקודת התורפה המקורית, זו שאיפשרה את ההחדרה שלו מלכתחילה, תתוקן על ידי גוגל", הוסיף.

גוגל לא מסרה תגובה כלשהי, ונמנעה מלאשר את דבר קיום נקודת התורפה או לומר מתי תתוקן.

"מבחינות רבות, חשבונות דוא"ל אינטרנטיים הם רבי ערך יותר מחשבון בנק מכיוון שהם מחזיקים מידע המאפשר גישה למגוון של שירותים מקוונים כגון בלוגים, חשבונות בנק, אשראי, וכדומה"

עם זאת, לפחות משתמש אחד שהגיב על הפרסום של פטקוב טוען שתוסף לדפדפן הפיירפוקס עשוי למנוע ניצול לרעה של נקודת התורפה. גיאורגיאו מאונה אומר שהתוסף הפופולרי NoScript אותו פיתח, חוסם מתקפות CSRF שמקורם באתרים בלתי מורשים (NoScript חוסם ג'אווה, ג'אווה-סקריפט ושאר קוד מבוסס שפות סקריפט שמקורו באתרים חשודים. משתמשי פיירפוקס יכולים להוריד אותו מאתר התוספים של מוזילה).

כפי שעשה בשבוע שעבר כאשר חשף באג קריטי בפורמט הקבצים PDF של אדובי, גם הפעם הגן פטקוב על החלטתו למסור מידע על נקודת התורפה מבלי לדווח תחילה לגוגל. עם זאת, הסיבה במקרה זה היתה הרבה פחות ברורה: "בואו נאמר שזה פשוט אחד מהניסויים החברתיים שלי", אמר.

ג'רמי גרוסמן,סמנכ"ל הטכנולוגיות של חברת WhiteHat Security אומר שהבאג ב-Gmail "מפחיד במיוחד". בדברים שכתב בבלוג שלו, הסביר גרוסמן את חששותיו: "מבחינות רבות, חשבונות דוא"ל אינטרנטיים הם רבי ערך יותר מחשבון בנק מכיוון שהם מחזיקים מידע המאפשר גישה למגוון של שירותים מקוונים כגון בלוגים, חשבונות בנק, אשראי, וכדומה. מתקפות אשר עושות שימוש בנקודת תורפה זו עלולות להיות פשוטות, שקטות וחכמות באופן מיוחד".