11:37
4/5/2010

Jeśli korzystacie ze spersonalizowanej strony domowej od Google (http://www.google.com/ig), uważajcie przy dodawaniu nowych Google Gadgets do swojej kolekcji. Poniższy filmik pokazuje, jak za pomocą “złośliwego” gadżetu można wykraść hasło i w konsekwencji przejąć konto ofiary.

Zaprezentowany atak może zostać zmodyfikowany tak, aby wykraść ciastka ofiary, stworzyć sieciowego robaka lub po prostu uruchomić dowolny kod JavaScript na komputerze ofiary. Szczegóły ataku nie zostały opisane, ale pomysłodawcy (notabene twórcy BackTracka, dystrybucji dedykowanej pentesterom) wskazują na 2-letnią prezentację z defcona, autorstwa Toma Stracener i Roberta Hansena, dodając iż ich technika ataku jest podobna.

Google milczy

Google o błędzie zostało poinformowane miesiąc temu, ale ponoć do tej pory nie odpowiedziało na e-maila. Wygląda na to, że powyższy film może być formą “ponaglenia” firmy… Tzw. responsible disclosure ma to do siebie, że często jest powolne, ignorowane i mało efektywne, a publiczne ujawnianie błędów z reguły znacznie przyśpiesza proces wydania poprawki :>

Google doskonale o tym wie, bo całkiem niedawno z racji opieszałości firmy Oracle, jeden z pracowników Google, Tavis Ormandy, ujawnił błędy w Javie, udostępniając exploita. Łatka pojawiła się w kilka dni…

Przeczytaj także:


6 komentarzy

Dodaj komentarz
  1. Większość osób posiadająca iG jest zalogowana na swoje konto Google, stąd mało osób da się nabrać na podwójne logowanie.

  2. Dlaczego nie wstawiasz filmików z vimeo bezpośrednio do posta?

  3. Tego filmu nie da się osadzić.

    EDIT: A jednak zrobiliśmy mały trick i się da :>

  4. Przecież widać gdzie prowadzi link z maila[&url=]. Jak ktoś ma słaby wzrok, to do Vision Express ;)

  5. @r9s
    Podwójne logowanie stosuje się chociażby w allegro jako obronę przed CSRF więc raczej nie będzie za bardzo dziwić.

  6. @r9s: Niektóre gadżety (nie wyprodukowane przez Google) rzeczywiście żądały podania hasła, aby móc pokazywać elementy należące do aplikacji Google.
    Zajrzałem na swoją stronę i ku mojemu zaskoczeniu, wszystkie takie gadżety zostały zablokowane, tak że musiałem je usunąć…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: