22/11/2010
Od kilku dni po internecie krąży informacja o “sporej dziurze w Google”, która umożliwia atakującemu automatyczne wysłanie e-maila do ofiary — wystarczy wejść na odpowiednio przygotowaną stronę WWW. W szale związanym z “dziurą w Google” gubią się 2, moim zdaniem ważne, szczegóły:
- problem dotyczy wyłącznie posiadaczy kont GMaila (dodatkowo: trzeba być zalogowanym)
- a odpowiednio przygotowana strona to jedna z aplikacji Google Apps (PoC został zademonstrowany na blogspot.com).
Efekt wygląda tak:

Efekt wejścia na stronę z exploitem -- otrzymany automatycznie e-mail. Nagłówki pokazują, że wiadomość została wysłana z serwerów Google.
Co ciekawe, podobno błąd działał również w przypadku, gdy ofiara korzystała w przeglądarce z trybu porno, tfu, tfu, “incognito”, czyli mechanizmu separacji sesji (w skrócie: osobne ciastka, historia, która nie jest zapisywana). O niedoskonałościach tego trybu pisaliśmy już na łamach Niebezpiecznika wielokrotnie.
Jak poważny był to błąd?
Zastanawiam się, czy atakujący w ogóle był w stanie poznać adres e-mail ofiary. Bo poznać, a móc automatycznie wysłać na niego wiadomość, to dwie różne rzeczy. Tak czy inaczej, zademonstrowana powyżej luka, to raczej poważne naruszenie prywatności niż — jak to wszędzie piszą — “ogromna dziura w Google”. Niestety, to nie pierwszy tego typu błąd w mechanizmie zapewniającym prywatność użytkownikom produktów Google.
Niektórzy żartują, że jeśli ktoś nie trzyma GMaila w osobnej, dedykowanej temu zadaniu, przeglądarce, to sam jest sobie winny :>
Nie będzie nagrody dla znalazcy?
Odkrywca błędu, 21 letni Armeńczyk podpisujący się jako Vahe G, twierdzi, że zanim opublikował PoC próbował się skontaktować z Google w sprawie tego błędu, ale nie doczekał się odpowiedzi. Po nagłośnieniu sprawy w mediach, Google zareagowało szybko. Strona Armeńczyka została zablokowana, a firma wydała oświadczenie,że błąd w Google Apps Script API został poprawiony.
Google zachęciło też do “odpowiedzialnego” kontaktu w sprawie błędów na adres security@google.com. Ała — Armeńczyk chyba nie może liczyć na nagrodę pieniężną z ostatnio ogłoszonego programu nagradzania bughunterów.
P.S. TechCrunch żartuje, w przypadku Facebooka powyższa dziura to byłby feature :-)
Zalogowanie się obejmuje chyba wszystkie usługi Google, więc, jeśli ktoś używa Readera i jest zalogowany cał yczas…
W przypadku FB to by była kolejna funkcja społecznościowa – “zintegruj się z samym sobą, wyślij sobie maila!”. ;]
Dziwi mnie, że “nie doczekał się odpowiedzi”. Jak zgłaszałem jakieś bugi na security@google.com, to reakcje były właściwie natychmiastowe i poprawki błędów również.
Zapewne została jego wiadomość potraktowana przez Gmailowy filtr jako SPAM :]
“Armeńczyk”? Na Boba! Ormianin.
Tak naprawdę to to był Finlandczyk <_<
@Cyprian: Ja wiedziałem, że to napiszesz :] Zdradziło Cie “Na Boba” ;]
CSRF nie jest niczym nowym ani skomplikowanym więc to pominę, dużo bardziej interesuje mnie jak zablokowali jego stronę.
Zwyczajnie wyrzucili ze swoich DNSów czy faktycznie jakoś ją zablokowali?
Pytam się bo trochę mnie oburza, że ktoś może mi zablokować hipotetyczną stronę bez mojej zgody(zalatuje cenzurą).
@zzz1986: Stronę zablokowali bardzo prosto gdyż była osadzona na blogspot.com, którego to właścicielem jest Google :]
Bardzo możliwe, że była na blogspocie właśnie dlatego, że blogspot miał inne uprawnienia dostępowe do gmailowych danych.
@Borys Łącki
Dzięki za info
Ale jakim prawem zablokowali stronę? W USA to legalne?
@ciamcia:
blogspot nalezy do google, wiec moga sobie robic z blogami na tej platformie co im sie podoba.
@ciamciaramcia
Widocznie google lubi praktykować Security throught obscurity ;-)
A co do legalności, Google pogrozi środkowym palcem hostingowi i już sprawa załatwiona, a czy legalnie, to już inna sprawa ;d
“Vahe G”
Waszka G
Zgodzę się z Cyprianem – Ormianin lepiej brzmi, choć obie formy są właściwe