9:52
22/11/2010

Od kilku dni po internecie krąży informacja o “sporej dziurze w Google”, która umożliwia atakującemu automatyczne wysłanie e-maila do ofiary — wystarczy wejść na odpowiednio przygotowaną stronę WWW. W szale związanym z “dziurą w Google” gubią się 2, moim zdaniem ważne, szczegóły:

  • problem dotyczy wyłącznie posiadaczy kont GMaila (dodatkowo: trzeba być zalogowanym)
  • a odpowiednio przygotowana strona to jedna z aplikacji Google Apps (PoC został zademonstrowany na blogspot.com).

Efekt wygląda tak:

Efekt wejścia na stronę z exploitem -- otrzymany automatycznie e-mail. Nagłówki pokazują, że wiadomość została wysłana z serwerów Google.

Co ciekawe, podobno błąd działał również w przypadku, gdy ofiara korzystała w przeglądarce z trybu porno, tfu, tfu, “incognito”, czyli mechanizmu separacji sesji (w skrócie: osobne ciastka, historia, która nie jest zapisywana). O niedoskonałościach tego trybu pisaliśmy już na łamach Niebezpiecznika wielokrotnie.

Jak poważny był to błąd?

Zastanawiam się, czy atakujący w ogóle był w stanie poznać adres e-mail ofiary. Bo poznać, a móc automatycznie wysłać na niego wiadomość, to dwie różne rzeczy. Tak czy inaczej, zademonstrowana powyżej luka, to raczej poważne naruszenie prywatności niż — jak to wszędzie piszą — “ogromna dziura w Google”. Niestety, to nie pierwszy tego typu błąd w mechanizmie zapewniającym prywatność użytkownikom produktów Google.

Niektórzy żartują, że jeśli ktoś nie trzyma GMaila w osobnej, dedykowanej temu zadaniu, przeglądarce, to sam jest sobie winny :>

Nie będzie nagrody dla znalazcy?

Odkrywca błędu, 21 letni Armeńczyk podpisujący się jako Vahe G, twierdzi, że zanim opublikował PoC próbował się skontaktować z Google w sprawie tego błędu, ale nie doczekał się odpowiedzi. Po nagłośnieniu sprawy w mediach, Google zareagowało szybko. Strona Armeńczyka została zablokowana, a firma wydała oświadczenie,że błąd w Google Apps Script API został poprawiony.

Google zachęciło też do “odpowiedzialnego” kontaktu w sprawie błędów na adres security@google.com. Ała — Armeńczyk chyba nie może liczyć na nagrodę pieniężną z ostatnio ogłoszonego programu nagradzania bughunterów.

P.S. TechCrunch żartuje, w przypadku Facebooka powyższa dziura to byłby feature :-)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

15 komentarzy

Dodaj komentarz
  1. Zalogowanie się obejmuje chyba wszystkie usługi Google, więc, jeśli ktoś używa Readera i jest zalogowany cał yczas…

  2. W przypadku FB to by była kolejna funkcja społecznościowa – “zintegruj się z samym sobą, wyślij sobie maila!”. ;]

  3. Dziwi mnie, że “nie doczekał się odpowiedzi”. Jak zgłaszałem jakieś bugi na security@google.com, to reakcje były właściwie natychmiastowe i poprawki błędów również.

  4. Zapewne została jego wiadomość potraktowana przez Gmailowy filtr jako SPAM :]

  5. “Armeńczyk”? Na Boba! Ormianin.

  6. Tak naprawdę to to był Finlandczyk <_<

  7. @Cyprian: Ja wiedziałem, że to napiszesz :] Zdradziło Cie “Na Boba” ;]

  8. CSRF nie jest niczym nowym ani skomplikowanym więc to pominę, dużo bardziej interesuje mnie jak zablokowali jego stronę.

    Zwyczajnie wyrzucili ze swoich DNSów czy faktycznie jakoś ją zablokowali?
    Pytam się bo trochę mnie oburza, że ktoś może mi zablokować hipotetyczną stronę bez mojej zgody(zalatuje cenzurą).

  9. @zzz1986: Stronę zablokowali bardzo prosto gdyż była osadzona na blogspot.com, którego to właścicielem jest Google :]
    Bardzo możliwe, że była na blogspocie właśnie dlatego, że blogspot miał inne uprawnienia dostępowe do gmailowych danych.

  10. @Borys Łącki
    Dzięki za info

  11. Ale jakim prawem zablokowali stronę? W USA to legalne?

  12. @ciamcia:
    blogspot nalezy do google, wiec moga sobie robic z blogami na tej platformie co im sie podoba.

  13. @ciamciaramcia
    Widocznie google lubi praktykować Security throught obscurity ;-)
    A co do legalności, Google pogrozi środkowym palcem hostingowi i już sprawa załatwiona, a czy legalnie, to już inna sprawa ;d

  14. “Vahe G”

    Waszka G

  15. Zgodzę się z Cyprianem – Ormianin lepiej brzmi, choć obie formy są właściwe

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: