Már megint veszélyben a Google-felhasználók

Nincs két hete, hogy arról kellett beszámolnunk: biztonsági rést fedeztek fel a Google online, ingyenesen használható prezentáció-készítő szolgáltatásában. Akkor a Google Talkot tették felelőssé az adatszivárgási probléma miatt, ám az amerikai óriásvállalat a hiba nyilvánossá válását követő néhány óra alatt elhárította a felhasználókra leselkedő veszélyt. Nem ülhetnek azonban nyugodtan a babérjaikon.

Petko Petkov, a GNUCitizen nevű „etikai hackercsoport” egyik tagja nemrég ugyanis egy úgynevezett elképzelést bizonyító (proof-of-concept) programot tett közzé, amely képes ellopni a Google Gmail felhasználóinak kapcsolatlistáját, valamint a bejövő elektronikus leveleket. „Akár arra is használhatjuk, hogy továbbítsuk a beérkező e-maileket. Jelenleg csak a felvetést igazolja, hogy működhet a dolog, de a mostani bemutató előrevetíti a rosszindulatú felhasználás megjelenését.” – mondta Chris Gatford, a Pure Hacking nevű szervezet biztonsági kutatója.

Gatford elmondása szerint egy úgynevezett cross-site scripting sérülékenységről van szó, amely révén kiszolgáltathatóvá válhatnak a Gmail accountok. Ez persze csak akkor működik, ha a felhasználót sikerül rávenni, hogy egy ártalmas szándékkal létrehozott linkre kattintson, és azon keresztül jelentkezzen be a rendszerbe. Amennyiben ezt el tudta érni a hacker, az áldozat Gmailhez tartozó session cookie-jait meg tudja szerezni, illetve ennek révén a már fent ismertetett lehetőségek tárulnak ki előtte.

Különösen komoly veszélyt jelent ez a lehetőség annak tükrében, hogy a Google szabályzata alapján a rendszer két évig őrzi a cookie-kat. Ez azt jelenti, hogy amennyiben egy támadó sikeresen meg tudta szerezni a sütiket egy adott felhasználó accountjához, akkor – elméletileg – két évig anélkül tudja monitorozni az illető levelezését, hogy ahhoz jelszót kellene használnia.

Egyelőre nincs hivatalos megoldás, annyit tehetünk mindössze, hogy Firefoxot használunk és letiltjuk a Javascriptet.