Gyurkity Péter
A Google kijavította a Gmail biztonsági hibáit
A Google kijavította szolgáltatásának egyes biztonsági hibáit, amelyek révén a támadók korábban eltulajdoníthatták a felhasználók belépőkódját és elektronikus leveleit.
Az egyik ilyen biztonsági rés a Froogle vásárlói szolgáltatásban bújt meg, amely lehetővé tette, hogy a "cookie" fájlok felhasználásával átirányítsák a böngészőt, és megszerezzék a Gmail-nél használt belépőkódokat. Az eljárást Nir Goldshlager, egy izraeli fiatalember demonstrálta, aki bemutatta, hogy a támadók egy szkript segítségével módosíthatják a Froogle egyes hivatkozásait, és a megfelelő oldalra átirányítva a böngészőt, könnyedén hozzájuthatnak a belépésnél használt felhasználói névhez és jelszóhoz.
A vállalat szakemberei kijavították a hibát, megakadályozva a további lopásokat, de a Goldshlager szerint a korábban eltulajdonított adatokat továbbra is felhasználhatják, még akkor is, ha a belepési jelszó időközben megváltozott. "A rendszer károsultként azonosítja a lopott cookie fájlt felhasználó tolvajt, aki így továbbra is bejuthat. Az azonosításhoz nem szükséges megadni a jelszót, így az eredeti tulajdonos a kód megváltoztatásával nem akadályozhatja meg a tolvaj bejutását" - jelentette ki Goldshlager.
Az elmúlt héten a Google egy másik hasonló biztonsági hibát is kijavított, amely szintén lehetővé tette, hogy a támadók eltulajdonítsák a felhasználók leveleit, illetve belépőkódját. A hibát a HBX Networks, egy Unix felhasználói csoport fedezte fel, mégpedig éppen egy saját kód fejlesztése közben. Az általuk megírt PERL kód ugyanis módosította a feladó mezőt, és egyes esetekben a felhasználói név és a belépésnél használt jelszó is láthatóvá vált. A HBX szerint néhány ilyen levél kiszivárgott , de a Google gyors fellépésének köszönhetően megakadályozták a katasztrófát. A frissítés után ugyanis a szolgáltatás már nem engedi át a módosított üzeneteket, és megakadályozza a hiba kihasználását.
Az egyik ilyen biztonsági rés a Froogle vásárlói szolgáltatásban bújt meg, amely lehetővé tette, hogy a "cookie" fájlok felhasználásával átirányítsák a böngészőt, és megszerezzék a Gmail-nél használt belépőkódokat. Az eljárást Nir Goldshlager, egy izraeli fiatalember demonstrálta, aki bemutatta, hogy a támadók egy szkript segítségével módosíthatják a Froogle egyes hivatkozásait, és a megfelelő oldalra átirányítva a böngészőt, könnyedén hozzájuthatnak a belépésnél használt felhasználói névhez és jelszóhoz.
A vállalat szakemberei kijavították a hibát, megakadályozva a további lopásokat, de a Goldshlager szerint a korábban eltulajdonított adatokat továbbra is felhasználhatják, még akkor is, ha a belepési jelszó időközben megváltozott. "A rendszer károsultként azonosítja a lopott cookie fájlt felhasználó tolvajt, aki így továbbra is bejuthat. Az azonosításhoz nem szükséges megadni a jelszót, így az eredeti tulajdonos a kód megváltoztatásával nem akadályozhatja meg a tolvaj bejutását" - jelentette ki Goldshlager.
Az elmúlt héten a Google egy másik hasonló biztonsági hibát is kijavított, amely szintén lehetővé tette, hogy a támadók eltulajdonítsák a felhasználók leveleit, illetve belépőkódját. A hibát a HBX Networks, egy Unix felhasználói csoport fedezte fel, mégpedig éppen egy saját kód fejlesztése közben. Az általuk megírt PERL kód ugyanis módosította a feladó mezőt, és egyes esetekben a felhasználói név és a belépésnél használt jelszó is láthatóvá vált. A HBX szerint néhány ilyen levél kiszivárgott , de a Google gyors fellépésének köszönhetően megakadályozták a katasztrófát. A frissítés után ugyanis a szolgáltatás már nem engedi át a módosított üzeneteket, és megakadályozza a hiba kihasználását.