 |  |
|
מישהו קורא אותך: נקודת תורפה חדשה ב-Gmail מאפשרת להאקרים לגנוב הודעות דוא"ל
ההאקרים יכולים לקרוא את הדואר שלכם |
מומחה אבטחה בריטי חשף שיטה באמצעותה ניתן להעביר באופן בלתי מורשה הודעות מחשבון ה-Gmail לכתובת דוא"ל חיצונית
02.10.07 | 11:27Internet | Security | Google
מומחה אבטחה בריטי טוען כי האקרים יכולים לפרוץ בקלות לחשבונות Gmail של גוגל ולגרום להעברתן של כל ההודעות, קיימות ועתידיות, לתיבת דוא"ל לפי בחירתם.
הבאג ב-Gmail, שזכה לכינוי cross-site request forgery, או בקיצור CSRF, נחשף ביום שלישי על ידי פטקו פטקוב, המתמחה במציאת נקודות תורפה בשירותים אינטרנטיים, ששמו נמצא לאחרונה לא מעט בכותרות. במהלך השבועיים האחרונים פרסם פטקוב באופן פומבי מידע על באגים קריטיים בנגן ה-Quicktime של אפל, בנגן המדיה של מיקרוסופט לחלונות, וב-PDF של אדובי.
לדבריו של פטקוב, האקרים יכולים לעשות שימוש במאפיין הסינון (filtering) של Gmail על מנת לנצל לרעה את הבאג המדובר. לטענתו, המתקפה מתחילה כאשר הקורבן מבקר באתר אינטרנט זדוני בעוד הוא עדיין מחובר לחשבון ה-Gmail שלו. בשלב זה אתר האינטרנט הזדוני יבצע פעולה בשם "multipart/form-date POST" - פקודת HTML בה ניתן לעשות שימוש על מנת להעלות קבצים - תוך שהוא מחדיר מסנן (פילטר) מזויף לתוך רשימת המסננים החוקיים של חשבון הדוא"ל.
פטקוב פרסם באתר Gnucitizen.org סדרה של תמונות מסך הממחישות כיצד ניתן לבצע את המתקפה. "בדוגמא, התוקף כותב מסנן משלו, שפשוט מחפש הודעות דוא"ל המכילות קבצים מצורפים, ומעביר אותן לכתובת דוא"ל אחרת לפי בחירתו", הסביר פטקוב. "המסנן הזדוני יעביר באופן אוטומטי כל הודעה שתואמת את הכלל שהוגדר".
"יש לזכור שגם הודעות עתידיות תועברנה לכתובת אותה הגדיר התוקף. המתקפה תשאר פעילה כל עוד המסנן קיים בתוך רשימת המסננים, גם אם נקודת התורפה המקורית, זו שאיפשרה את ההחדרה שלו מלכתחילה, תתוקן על ידי גוגל", הוסיף.
גוגל לא מסרה תגובה כלשהי, ונמנעה מלאשר את דבר קיום נקודת התורפה או לומר מתי תתוקן.
עם זאת, לפחות משתמש אחד שהגיב על הפרסום של פטקוב טוען שתוסף לדפדפן הפיירפוקס עשוי למנוע ניצול לרעה של נקודת התורפה. גיאורגיאו מאונה אומר שהתוסף הפופולרי NoScript אותו פיתח, חוסם מתקפות CSRF שמקורם באתרים בלתי מורשים (NoScript חוסם ג'אווה, ג'אווה-סקריפט ושאר קוד מבוסס שפות סקריפט שמקורו באתרים חשודים. משתמשי פיירפוקס יכולים להוריד אותו מאתר התוספים של מוזילה).
כפי שעשה בשבוע שעבר כאשר חשף באג קריטי בפורמט הקבצים PDF של אדובי, גם הפעם הגן פטקוב על החלטתו למסור מידע על נקודת התורפה מבלי לדווח תחילה לגוגל. עם זאת, הסיבה במקרה זה היתה הרבה פחות ברורה: "בואו נאמר שזה פשוט אחד מהניסויים החברתיים שלי", אמר.
ג'רמי גרוסמן,סמנכ"ל הטכנולוגיות של חברת WhiteHat Security אומר שהבאג ב-Gmail "מפחיד במיוחד". בדברים שכתב בבלוג שלו, הסביר גרוסמן את חששותיו: "מבחינות רבות, חשבונות דוא"ל אינטרנטיים הם רבי ערך יותר מחשבון בנק מכיוון שהם מחזיקים מידע המאפשר גישה למגוון של שירותים מקוונים כגון בלוגים, חשבונות בנק, אשראי, וכדומה. מתקפות אשר עושות שימוש בנקודת תורפה זו עלולות להיות פשוטות, שקטות וחכמות באופן מיוחד".
פורמט להדפסה
שלח באימייל
חזרה למעלה
עשרת הגדולים
- 1. אפל: ספקולציות המחירים היו מוגזמות
- 2. בימ"ש בארה"ב הפסיק פעולתה של מפיצת מיליארדי הודעות ספאם באינטרנט
- 3. הסטארט-אפ הישראלי מיקרו-היט פושט רגל
- 4. הסטארט-אפ ויראל גורוז פיטר שלושה עובדים מתוך שמונה
- 5. מאבק לחיים: מי מחברות הסטארט-אפ תגווע ומי תשרוד?
- 6. מרקדו נמכרת לאומניצ'ור תמורת 6.5 מיליון דולר
- 7. המשבר הפיננסי: מדריך הישרדות לסטארט-אפים ישראלים
- 8. שוק הגאדג'טים: ממשיכים למכור אבל המשווקים במתח
- 9. הסטארט אפים Wix ו-My things גייסו 8.5 מיליון דולר
- 10. חברות מגזר הטכנולוגיה יפסידו 170 מיליארד דולר במכירות בשנה הבאה
ראש צוות QA – דרושים הייטק
ניסיון בניהול צוותי QA לפחות שנתיים. ניסיון בתקשורת – יתרון. אופק ניהולי למצטיינים
Silicon Wadi | Israeli Hi-Tech and Startups | Internetתוכניתן C++
תואר ראשון במדעי המחשב. לפחות שנה ניסיון בפיתוח C++. ניסיון בעבודה בסביבת Microsoft Visual Studio
Silicon Wadi | Internet | Israeli Hi-Tech and Startupsדרושים מהנדסי תוכנה
פיתוח אפליקציות לעיבוד נתונים, ניתוחם והצגתם. בוגרי מתמטיקה, פיזיקה או מדעי המחשב
Silicon Wadi | Israeli Hi-Tech and Startups | Internetדרושים מתכנתי JAVA
נסיון של שנתיים בפיתוח Java/J2EE לפחות שנתיים נסיון בפיתוח Java בצד הserver
Silicon Wadi | Israeli Hi-Tech and Startups | Internet
