Verraderlijk lek in Gmail staat e-maildiefstal toe

Rits kwetsbaarheden in diensten Google

27 september 2007 | Janneke Scheepers Veiligheidslekken in een reeks Google-producten zijn de afgelopen dagen aan het licht gekomen, meldt ZDNet-blogger Ryan Naraine. De meest verontrustende is een bug die een aanvaller kan gebruiken om e-mails te stelen van gebruikers van de Gmail-dienst.

Deze bug, ontdekt door beveiligingsonderzoeker Petko D. Petkov, is erg verraderlijk omdat het voor een gebruiker erg lastig is om op te merken dat e-mails worden gestolen. "Tenzij je een über-user bent", aldus Petkov. Op de site van 'denktank-organisatie' Gnucitizen legt hij uit hoe de hack werkt.

De exploit openbaart zich wanneer het slachtoffer een foute webpagina bezoekt, terwijl hij is ingelogd in Gmail. De pagina stuurt code naar een van de GMail-interfaces, waarna een - door de aanvaller geschreven - filter in de filterlijst van de gebruiker wordt geplaatst. Dit filter kijkt uit naar e-mails met bijlagen, en stuurt deze door naar een ander e-mailadres. Dit duurt zolang het slachtoffer het foute filter in zijn lijst heeft staan.

Deze aanvalstechniek staat bekend als een cross-site request forgery (CSRF). In het verleden heeft Google hier ook al last van gehad, schrijft Naraine. Eerder dit jaar moest het bedrijf een gelijkaardig lek dichten, nadat bleek dat contactlijsten van Gmail-gebruikers gestolen konden worden.

Dat is nog niet alles. Andere recente ontdekkingen betreffen een cross-site scripting-bug in Googles Search Appliance en een kwetsbaarheid in Blogspot. Ook Googles Picasa-software en webdienst zijn kwetsbaar voor een exploit-scenario, waarbij foto's worden gestolen van de harddrive van het slachtoffer. Tenslotte meldt Adrian Pastor van Gnucitizen een lek in de inlogpagina van Google Urchin Web Analytics 5, dat misbruikt kan worden om inloggegevens te stelen.

 

bron: ZDNet