Porady IT

Jak podaje magazyn ZDNet, członek grupy hakerskiej GNUCitizen, Petko Petkow, zaprezentował prosty sposób na kradzież kontaktów i wiadomości przychodzących na skrzynki pocztowe Google Gmail.

Zaprojektował on aplikację, która może być wykorzystana do przekazywania nadchodzącej poczty na konto Gmail. Jak wyjaśnia Chris Gatford z firmy Pure Hacking, atakujący może włamać się na konto Gmail wykorzystując do tego celu atak typu cross-site scripting (XSS). Wystarczy, że ofiara ataku będzie zalogowana do swojego konta Gmail i kliknie w odpowiedni odnośnik. Od tej pory atakujący może przejąć sesję cookies z Gmaila, otrzymując wszystkie listy no podane przez siebie konto POP.

Powaga problemu jest na tyle duża, że pliki cookies pochodzące od Google, przechowywane są na komputerze użytkownika przez dwa lata. Gdyby więc atak powiódł się, atakujący miałby dwuletni dostęp bez hasła do konta ofiary.

Jednym z wyjść jest korzystanie z Gmaila poprzez przeglądarkę Firefox z wyłączoną obsługą Javascriptu.

źródło: zdnet.co.uk