О достаточно серьезной (хотя и малозаметной) ошибке в популярном почтовом сервисе Google, затрагивающей интересы множества пользователей, сообщают сетевые СМИ. По информации от исследователя Орена Хафифа (Oren Hafif), который и обнаружил данную уязвимость, ее полномасштабное использование может сделать достоянием гласности практически все адреса Gmail, причем, времени на это уйдет не так уж и много. Конечно, знание одного только адреса без пароля к аккаунту не позволяет копаться в электронной переписке жертвы, но может использоваться для рассылки спама, фишинговых атак и т.д.
Выявленный господином Хафифом эксплойт использует малоизвестную функцию Gmail, позволяющую отказаться от делегированного доступа к аккаунту другого пользователя. Достаточно немного изменить настройки URL страницы, которая появляется при этом, и там демонстрируется адрес какого-то иного почтового ящика. Автоматизировав процесс посредством утилиты DirBuster, израильский исследователь выявил 37 000 адресов Gmail всего за два часа, а в принципе процесс мог бы продолжаться до раскрытия всех адресов почтовой службы Google, благо требуется на это несколько дней или максимум недель.
Обнаружив указанный сбой, господин Хафиф как законопослушный гражданин написал в Google, и корпорация в конечном итоге вознаградила его внимательность премией в $500. Кроме того, интернет-гигант подтвердил устранение данной уязвимости, правда, неясно, воспользовался ли ошибкой еще кто-то, ведь она могла присутствовать в Gmail годами.
Источник: ferra
|
