Onderzoeker waarschuwt voor Gmail-hack
Activeer nieuwe veiligheidsinstelling
11 augustus 2008 | Janneke Scheepers
Gebruikers van Gmail doen er verstandig aan om direct de nieuwe optie ‘Altijd Https gebruiken’ bij de instellingen van de webdienst aan te vinken. Het intypen van de url https://mail.google.com volstaat namelijk niet als bescherming tegen sidejacking, zo demonstreerde onderzoeker Mike Perry zaterdag op de hackersconferentie Defcon in Las Vegas. Securityblogger Brian Krebs doet er verslag van.
Versleutelde sessie
Perry demonstreerde een tool waarmee aanvallers in uw inbox kunnen inbreken, zelfs als u Gmail benadert in een versleutelde sessie met gebruik van https:// in plaats van http://. Als u inlogt bij Gmail, zullen de servers van Google een zogenaamde ‘sessie cookie’ of ‘GX-cookie’ op uw machine zetten. Met deze cookie kunt u tot twee weken ingelogd blijven, mits u niet handmatig uitlogt. Na die periode verstrijkt de cookie en moet u opnieuw inloggen.
Geen onderscheid
Het probleem is dat de cookies van Gmail er geen rekening mee houden of u nu wel of niet bent ingelogd via een beveiligde verbinding; ze worden hoe dan ook verstuurd. Een aanvaller die het verkeer op uw netwerk bespioneert, kan hier misbruik van maken.
Zodra u na het inloggen een andere webpagina oproept, kan hij kleine afbeeldingen of andere content van mail.google.com injecteren in die pagina. Na het laden van deze geinjecteerde elementen zal uw browser de GX-cookie met inloggegevens tonen. De aanvaller die het verkeer op uw netwerk afluistert, hoeft dan de cookie alleen nog op zijn machine te laden, om in uw inbox te komen.
Automatische aanval
Er zijn verschillende gratis tooltjes om internetverkeer over een netwerk te bespioneren en willekeurige beelden, links en andere data te injecteren in webverkeer verstuurd over dat netwerk. Perry heeft zelfs een tool ontworpen die deze diefstal van cookies van Gmail automatisch uitvoert.
De truc werkt ook bij "een heleboel andere sites" die net als Gmail bij het verzenden van cookies geen rekening houden met het type verbinding, waaronder grote namen als Facebook en Amazon.
Lees verder op ZDNet »
Gmail krijgt kleurtjes
Gmail start videogesprek
Gmail stopt kalender en documenten in zijbalk
Onderzoeker waarschuwt voor Gmail-hack
Encryptie wordt vast onderdeel van Gmail
PayPal-berichten geweerd bij Gmail
Inlogcodes Gmail in gevaar door lek
Back-upprogramma voor Gmail gapt wachtwoorden
Gmail kraakbaar op openbare hotspots
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
