9:52
22/11/2010

“Spora dziura” w Google? Huh…

Autor: Piotr Konieczny | Tagi:  

Od kilku dni po internecie krąży informacja o “sporej dziurze w Google”, która umożliwia atakującemu automatyczne wysłanie e-maila do ofiary — wystarczy wejść na odpowiednio przygotowaną stronę WWW. W szale związanym z “dziurą w Google” gubią się 2, moim zdaniem ważne, szczegóły:

  • problem dotyczy wyłącznie posiadaczy kont GMaila (dodatkowo: trzeba być zalogowanym)
  • a odpowiednio przygotowana strona to jedna z aplikacji Google Apps (PoC został zademonstrowany na blogspot.com).

Efekt wygląda tak:

Efekt wejścia na stronę z exploitem -- otrzymany automatycznie e-mail. Nagłówki pokazują, że wiadomość została wysłana z serwerów Google.

Co ciekawe, podobno błąd działał również w przypadku, gdy ofiara korzystała w przeglądarce z trybu porno, tfu, tfu, “incognito”, czyli mechanizmu separacji sesji (w skrócie: osobne ciastka, historia, która nie jest zapisywana). O niedoskonałościach tego trybu pisaliśmy już na łamach Niebezpiecznika wielokrotnie.

Jak poważny był to błąd?

Zastanawiam się, czy atakujący w ogóle był w stanie poznać adres e-mail ofiary. Bo poznać, a móc automatycznie wysłać na niego wiadomość, to dwie różne rzeczy. Tak czy inaczej, zademonstrowana powyżej luka, to raczej poważne naruszenie prywatności niż — jak to wszędzie piszą — “ogromna dziura w Google”. Niestety, to nie pierwszy tego typu błąd w mechanizmie zapewniającym prywatność użytkownikom produktów Google.

Niektórzy żartują, że jeśli ktoś nie trzyma GMaila w osobnej, dedykowanej temu zadaniu, przeglądarce, to sam jest sobie winny :>

Nie będzie nagrody dla znalazcy?

Odkrywca błędu, 21 letni Armeńczyk podpisujący się jako Vahe G, twierdzi, że zanim opublikował PoC próbował się skontaktować z Google w sprawie tego błędu, ale nie doczekał się odpowiedzi. Po nagłośnieniu sprawy w mediach, Google zareagowało szybko. Strona Armeńczyka została zablokowana, a firma wydała oświadczenie,że błąd w Google Apps Script API został poprawiony.

Google zachęciło też do “odpowiedzialnego” kontaktu w sprawie błędów na adres security@google.com. Ała — Armeńczyk chyba nie może liczyć na nagrodę pieniężną z ostatnio ogłoszonego programu nagradzania bughunterów.

P.S. TechCrunch żartuje, w przypadku Facebooka powyższa dziura to byłby feature :-)

Przeczytaj także:

Niebezpiecznik

15 komentarzy

Dodaj komentarz
  1. Jurgi Filodendryta 2010.11.22 10:09 | # | Reply

    Zalogowanie się obejmuje chyba wszystkie usługi Google, więc, jeśli ktoś używa Readera i jest zalogowany cał yczas…

  2. Tomasz Kowalczyk 2010.11.22 10:12 | # | Reply

    W przypadku FB to by była kolejna funkcja społecznościowa – “zintegruj się z samym sobą, wyślij sobie maila!”. ;]

  3. k. 2010.11.22 10:48 | # | Reply

    Dziwi mnie, że “nie doczekał się odpowiedzi”. Jak zgłaszałem jakieś bugi na security@google.com, to reakcje były właściwie natychmiastowe i poprawki błędów również.

  4. Borys Łącki 2010.11.22 11:06 | # | Reply

    Zapewne została jego wiadomość potraktowana przez Gmailowy filtr jako SPAM :]

  5. Cyprian 2010.11.22 11:09 | # | Reply

    “Armeńczyk”? Na Boba! Ormianin.

  6. batwing 2010.11.22 12:30 | # | Reply

    Tak naprawdę to to był Finlandczyk <_<

  7. Borys Łącki 2010.11.22 12:45 | # | Reply

    @Cyprian: Ja wiedziałem, że to napiszesz :] Zdradziło Cie “Na Boba” ;]

  8. zzz1986 2010.11.22 12:51 | # | Reply

    CSRF nie jest niczym nowym ani skomplikowanym więc to pominę, dużo bardziej interesuje mnie jak zablokowali jego stronę.

    Zwyczajnie wyrzucili ze swoich DNSów czy faktycznie jakoś ją zablokowali?
    Pytam się bo trochę mnie oburza, że ktoś może mi zablokować hipotetyczną stronę bez mojej zgody(zalatuje cenzurą).

  9. Borys Łącki 2010.11.22 13:02 | # | Reply

    @zzz1986: Stronę zablokowali bardzo prosto gdyż była osadzona na blogspot.com, którego to właścicielem jest Google :]
    Bardzo możliwe, że była na blogspocie właśnie dlatego, że blogspot miał inne uprawnienia dostępowe do gmailowych danych.

  10. zzz1986 2010.11.22 18:49 | # | Reply

    @Borys Łącki
    Dzięki za info

  11. ciamciaramcia 2010.11.23 10:48 | # | Reply

    Ale jakim prawem zablokowali stronę? W USA to legalne?

  12. jurek ogórek 2010.11.23 15:49 | # | Reply

    @ciamcia:
    blogspot nalezy do google, wiec moga sobie robic z blogami na tej platformie co im sie podoba.

  13. Kamil 2010.11.24 20:45 | # | Reply

    @ciamciaramcia
    Widocznie google lubi praktykować Security throught obscurity ;-)
    A co do legalności, Google pogrozi środkowym palcem hostingowi i już sprawa załatwiona, a czy legalnie, to już inna sprawa ;d

  14. bijacz 2010.11.28 14:13 | # | Reply

    “Vahe G”

    Waszka G

  15. KrystianCK 2010.12.01 11:05 | # | Reply

    Zgodzę się z Cyprianem – Ormianin lepiej brzmi, choć obie formy są właściwe

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: