11:37
4/5/2010

Jeśli korzystacie ze spersonalizowanej strony domowej od Google (http://www.google.com/ig), uważajcie przy dodawaniu nowych Google Gadgets do swojej kolekcji. Poniższy filmik pokazuje, jak za pomocą “złośliwego” gadżetu można wykraść hasło i w konsekwencji przejąć konto ofiary.

Zaprezentowany atak może zostać zmodyfikowany tak, aby wykraść ciastka ofiary, stworzyć sieciowego robaka lub po prostu uruchomić dowolny kod JavaScript na komputerze ofiary. Szczegóły ataku nie zostały opisane, ale pomysłodawcy (notabene twórcy BackTracka, dystrybucji dedykowanej pentesterom) wskazują na 2-letnią prezentację z defcona, autorstwa Toma Stracener i Roberta Hansena, dodając iż ich technika ataku jest podobna.

Google milczy

Google o błędzie zostało poinformowane miesiąc temu, ale ponoć do tej pory nie odpowiedziało na e-maila. Wygląda na to, że powyższy film może być formą “ponaglenia” firmy… Tzw. responsible disclosure ma to do siebie, że często jest powolne, ignorowane i mało efektywne, a publiczne ujawnianie błędów z reguły znacznie przyśpiesza proces wydania poprawki :>

Google doskonale o tym wie, bo całkiem niedawno z racji opieszałości firmy Oracle, jeden z pracowników Google, Tavis Ormandy, ujawnił błędy w Javie, udostępniając exploita. Łatka pojawiła się w kilka dni…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

6 komentarzy

Dodaj komentarz
  1. Większość osób posiadająca iG jest zalogowana na swoje konto Google, stąd mało osób da się nabrać na podwójne logowanie.

  2. Dlaczego nie wstawiasz filmików z vimeo bezpośrednio do posta?

  3. Tego filmu nie da się osadzić.

    EDIT: A jednak zrobiliśmy mały trick i się da :>

  4. Przecież widać gdzie prowadzi link z maila[&url=]. Jak ktoś ma słaby wzrok, to do Vision Express ;)

  5. @r9s
    Podwójne logowanie stosuje się chociażby w allegro jako obronę przed CSRF więc raczej nie będzie za bardzo dziwić.

  6. @r9s: Niektóre gadżety (nie wyprodukowane przez Google) rzeczywiście żądały podania hasła, aby móc pokazywać elementy należące do aplikacji Google.
    Zajrzałem na swoją stronę i ku mojemu zaskoczeniu, wszystkie takie gadżety zostały zablokowane, tak że musiałem je usunąć…

Odpowiadasz na komentarz Matsukawa

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: