В Gmail найдена серьезная уязвимость
Подобный тип взлома называется "межсайтовая подмена запроса" (cross-site request forgery, CSRF). Сайт злоумышленников посылает на Gmail команду multipart/form-date POST (как назывет ее Петков) и с ее помощью настраивается копирование всех писем с атакованного почтового ящика на адрес хакеров. Причем, копируются как вновь приходящие письма, так и старые (если они хранятся в веб-ящике Gmail). Даже когда Google устранит уязвимость, фильтр будет пересылать сообщения до тех пор, пока остается в списке. Петко Петков не рассказывает в подробностях о механизме работы "бага" Gmail и призывает всех остальных тоже не делать этого, чтобы компания Google успела устранить уязвимость. Сотрудники Google уже начали проверять факты, изложенные хакером.
Петко Петков (Petko Petkov), участник хакерской организации GNU Citizen, рассказал миру о серьезной уязвимости в Gmail. Он даже опубликовал в блоге скриншоты того, как именно происходит взлом. Оказывается, на сайт можно внедрить специальный код - и все его посетители, авторизованные в Gmail, окажутся в опасности.
На данный момент ходят слухи о том, что Google работает над новой версией Gmail. Причем, источник новости в данном случае оказался не совсем обычным. Google прибегает к помощи пользователей при переводе тех или иных элементов интерфейса своих программ, и среди других кусочков текста туда просочилось сообщение о том, что новая версия Gmail тестируется и в скором времени должна выйти в свет.
Уязвимости, подобные той, что обнаружил Петко Петков в Gmail, замечены и в других продуктах Google. Самой серьезной была "дыра" в Google Groups, позволяющая получить доступ к контактам и сообщениям Gmail. Вторая уязвимость была обнаружена в средствах поиска Google для вебмастеров, там можно было красть cookies пользователей. Третий "баг" был предназначен для доступа к чужим фотографиям через Google Picasa.
Все три уязвимости использовали т.н. "межсайтовый скриптинг" (cross site scripting, XSS), а для взлома Google Picasa была задействована также технология CSRF и некоторые ошибки в работе Flash и обработки URI. Уязвимость Google Groups уже закрыта, по остальным пунктам Google работает и, в том числе, готовит рекомендации для пользователей. В частности, там говорится о том, как опасно устанавливать в Picasa дополнительные кнопки неизвестного происхождения.
www.securitylab.ru