Петко Петков (Petko Petkov), участник хакерской организации GNU Citizen, рассказал миру о серьезной уязвимости в Gmail.
Подобный тип взлома называется "межсайтовая подмена запроса" (cross-site request forgery, CSRF). Сайт злоумышленников посылает на Gmail команду multipart/form-date POST (как назывет ее Петков) и с ее помощью настраивается копирование всех писем с атакованного почтового ящика на адрес хакеров. Причем, копируются как вновь приходящие письма, так и старые (если они хранятся в веб-ящике Gmail). Даже когда Google устранит уязвимость, фильтр будет пересылать сообщения до тех пор, пока остается в списке.
Петко Петков не рассказывает в подробностях о механизме работы "бага" Gmail и призывает всех остальных тоже не делать этого, чтобы компания Google успела устранить уязвимость. Сотрудники Google уже начали проверять факты, изложенные хакером.
Сотрудник российской компании "Яндекс" в частной беседе высказал уверенность в том, что приведенной Петковым информации вполне достаточно для воспроизведения атаки. "Это тривиальный CSRF. К сожалению, от него очень мало кто защищается", - говорит сотрудник "Яндекса".
На данный момент ходят слухи о том, что Google работает над новой версией Gmail. Причем, источник новости в данном случае оказался не совсем обычным. Google прибегает к помощи пользователей при переводе тех или иных элементов интерфейса своих программ, и среди других кусочков текста туда просочилось сообщение о том, что новая версия Gmail тестируется и в скором времени должна выйти в свет.
Уязвимости, подобные той, что обнаружил Петко Петков в Gmail, замечены и в других продуктах Google. Самой серьезной была "дыра" в Google Groups, позволяющая получить доступ к контактам и сообщениям Gmail. Вторая уязвимость была обнаружена в средствах поиска Google для вебмастеров, там можно было красть cookies пользователей. Третий "баг" был предназначен для доступа к чужим фотографиям через Google Picasa.
Все три уязвимости использовали т.н. "межсайтовый скриптинг" (cross site scripting, XSS), а для взлома Google Picasa была задействована также технология CSRF и некоторые ошибки в работе Flash и обработки URI. Уязвимость Google Groups уже закрыта, по остальным пунктам Google работает и, в том числе, готовит рекомендации для пользователей. В частности, там говорится о том, как опасно устанавливать в Picasa дополнительные кнопки неизвестного происхождения.
Сбалансированная диета для серого вещества