[ Zavřít ] 


 

RSS Kanál

 

Gmail byl zranitelný - každý jeden účet

Každý účet na Gmailu se mohl stát potenciální obětí hijackingu aka únosu účtu. Zákeřnou chybička se skrývala v procesu, jakým Gmail zpracovával přeposílání zpráv na jiný emailový účet. Slabinu v zabezpečení objevil pákistánský student IT bezpečnosti Ahmed Mehtab.

 

Gmail se dal ošidit k vyzrazení údajů potřebných k potvrzení vlastnictví účtu

Celá slabina v zabezpečení spočívala ve způsobu, jakým Google zpracovává propojení primárního Gmail účtu s jinou emailovou adresou pro účely předávání zpráv. Jedinou věcí, kterou cracker potřeboval k útoku, bylo znát - či z dostupných emailových adres uhádnout - kterou z těchto adres používá oběť k přeposílání zpráv. Pak už mohl zmanipulovat systém k tomu, aby ověřovací údaje poslal na jakoukoliv emailovou adresu. 

Konkrétně popisuje provedení takového únosu účtu (či v termínech IT security hijackingu) vývojář a softwarový inženýr Uzair Amir: „Útočník se snaží ověřit vlastnictví cíleného účtu tím, že jej pošle na falešnou ověřovací adresu. Tato ovšem neexistuje, proto Google danou zprávu posílá zpět odesilateli - zpráva ovšem už zahrnuje ověřovací údaje. A útočník je použije k potvrzení vlastnictví cíleného účtu.“

Jak takový útok vypadá krok za krokem, můžete shlédnout v Mehtabově videu. Dle všeho už je zranitelnost opravena a na Mehtaba čeká odměna v rámci bug bounty programu Googlu.

Zdroje: HackRead.com

 

 

 

 

 

Tiskárny HP jsou děravé

HP varuje před riziky bezpečnostních děr, které se objevily ve firmwaru tiskáren HP. Chyby mohou vyústit v přetečení vyrovnávací paměti a vzdálené spuštění kódu. Což útočníkům umožňuje infiltraci vlastního...

Podzimní novinky Zoner Photo Studia X: Více místa pro fotky i nativní podpora RAWů

Podzimní aktualizace Zoner Photo Studia X přináší změny hluboko uvnitř programu i v uživatelském rozhraní. Univerzální software pro úpravu fotek a videí nově nativně podporuje RAW formáty mnoha rozšířených fotoaparátů nebo...

Náklaďáky řídí umělá inteligence | Solvertech

Za volantem náklaďáku ještě stále musí sedět živý chlap (nebo dáma), stále víc jím ale točí umělá inteligence. V podmínkách ropného šoku a trvalé dopravní kalamity přestává na...

ÚOOÚ šetří kvůli úniku dat Shoptet

Úřad pro ochranu osobních údajů (ÚOOÚ) vyzývá klienty Shoptetu, aby prověřili, zda nedošlo k narušení zabezpečení osobních údajů. Podezřelými jsou v tomto případě analytické aplikace firmy MonkeyData, které měly...


 
© 2005-2022 PS Media s.r.o. - digital world
 

reklama