Gyurkity Péter

A Google kijavította a Gmail biztonsági hibáit

A Google kijavította szolgáltatásának egyes biztonsági hibáit, amelyek révén a támadók korábban eltulajdoníthatták a felhasználók belépőkódját és elektronikus leveleit.

Az egyik ilyen biztonsági rés a Froogle vásárlói szolgáltatásban bújt meg, amely lehetővé tette, hogy a "cookie" fájlok felhasználásával átirányítsák a böngészőt, és megszerezzék a Gmail-nél használt belépőkódokat. Az eljárást Nir Goldshlager, egy izraeli fiatalember demonstrálta, aki bemutatta, hogy a támadók egy szkript segítségével módosíthatják a Froogle egyes hivatkozásait, és a megfelelő oldalra átirányítva a böngészőt, könnyedén hozzájuthatnak a belépésnél használt felhasználói névhez és jelszóhoz.

A vállalat szakemberei kijavították a hibát, megakadályozva a további lopásokat, de a Goldshlager szerint a korábban eltulajdonított adatokat továbbra is felhasználhatják, még akkor is, ha a belepési jelszó időközben megváltozott. "A rendszer károsultként azonosítja a lopott cookie fájlt felhasználó tolvajt, aki így továbbra is bejuthat. Az azonosításhoz nem szükséges megadni a jelszót, így az eredeti tulajdonos a kód megváltoztatásával nem akadályozhatja meg a tolvaj bejutását" - jelentette ki Goldshlager.

Az elmúlt héten a Google egy másik hasonló biztonsági hibát is kijavított, amely szintén lehetővé tette, hogy a támadók eltulajdonítsák a felhasználók leveleit, illetve belépőkódját. A hibát a HBX Networks, egy Unix felhasználói csoport fedezte fel, mégpedig éppen egy saját kód fejlesztése közben. Az általuk megírt PERL kód ugyanis módosította a feladó mezőt, és egyes esetekben a felhasználói név és a belépésnél használt jelszó is láthatóvá vált. A HBX szerint néhány ilyen levél kiszivárgott , de a Google gyors fellépésének köszönhetően megakadályozták a katasztrófát. A frissítés után ugyanis a szolgáltatás már nem engedi át a módosított üzeneteket, és megakadályozza a hiba kihasználását.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • rgranc #6
    mikike: a valós átküldhető fájlméret inkább 8 megabájt körül van (nézz utána a 8-bitesről 7-bitesre történő konverziónak a levelezőrendszerekben az okokért).

    Kvösz: csak úgy, hogy keresel valakit, akinek van GMail postafiókja, és ő küld neked meghívót.
  • Tetsuo #5
    Meghívólevelet kell kérni az USÁból :)
  • Kvösz #4
    hogyan lehet regelni gmailre? tudom hogy valami meghívás van, de pontosan hogy?
  • Sil78 #3
    Mert az üzenet teljes mérete lehet max 10MB...
  • mikike #2
    nem tuttam 10 megás fájlt átküldeni rajta
    demér???
  • nemcsakfeel #1
    kicsit lassan ért ide az sg re a hír :)