Ваши личные данные в опасности

0
7

В последнее время в интернете часто говорят об уязвимостях в защите Google. Например, один разработчик смог внедрить свой backdoor в почтовую службу Gmail, приводя серферов на специальную веб-страницу и расшифровывая их личные данные. Во многих таких эксплоитах проблема в том, что cookie вашей учетной записи Google могут быть украдены с помощью так называемого cross-site scripting (XSS) атак- “cross-site” потому что информация cookie перемещается от домена Google. com (откуда информация и считывается) к какому-то другому домену (где он не должен считываться).

В принципе, такая атака может быть произведена когда кто-нибудь находит способ опубликовать свой собственный HTML/JavaScript файл произвольного содержания на любой домен *.google. com (например Google Calendar, Google Docs, Google Reader, Google News и так далее).

Теперь Tony Ruscoe обнаружил другой метод XSS атаки. Он опубликовал свою специально подготовленную страницу на Google Docs, поместив в эту страницу код, который использует нестандартное (некорректное) поведение Internet Explorer. Потом он по договоренности послал ссылку на опубликованный документ Филиппу Ленссену, который по этой ссылке кликнул, и Tony смог получить cookie учетной записи Ленссена, так как Ленссен заранее зашел в свой аккаунт Google.

Атакующему не нужно было перенаправлять жертву на свой домен — нужно было просто дать доступ к нужному контенту на сайте Google. Но чтобы все сработало, надо было чтобы жертва пользовалась Internet Explorer, потому что на FireFox такая техника не работает.Вот что можно было делать с cookie:Читать заголовки и несколько первых слов из писем на Gmail.

Это было возможно только через Gmail гаджет на iGoogle, используя сверхширокий формат гаджетаИметь доступ к статистике на Google Analytics, включая сайты с гостевым доступом к статистике (расшаренные)Смотреть многие гаджеты iGoogle, например список намеченных делИметь полный доступ к приватному содержанию Блокнота Google и к расшаренным с другими, но не публичным записямВидеть содержание Google ReaderВидеть названия личных Google Docs, заметок и файлов презентаций

А вот что нельзя было делать:Нельзя увидеть полный текст писем. Нельзя посмотреть хоть что-нибудь из содержания Google Docs, заметок и презентаций. Нельзя увидеть большинство гаджетов iGoogle, например Google talk требовал заново ввести пароль. Нельзя было сменить логин/пароль для доступа к учетной записи, то есть получить полный контроль над всеми сервисами Google жертвы. Вот несколько скриншотов от Tony, сделанные во время взлома:Как мы видим, в принципе ничего особенно страшного взломщик сделать не может, правда никто не может точно сказать насколько далеко может зайти опытный хакер, который будет исследовать такую уязвимость.

Единственное что можно сейчас посоветовать пользователям Google — это выходить из аккаунта каждый раз, когда не нужно пользоваться службами Google. Ведь в принципе любая ссылка может оказаться опасной. И еще нужно осторожно относиться к ссылкам, ведущим на Google Docs, поскольку в этом сервисе публиковать свои файлы проще всего.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here