[ Zavřít ] 


 

RSS Kanál

 

Gmail byl zranitelný - každý jeden účet

Každý účet na Gmailu se mohl stát potenciální obětí hijackingu aka únosu účtu. Zákeřnou chybička se skrývala v procesu, jakým Gmail zpracovával přeposílání zpráv na jiný emailový účet. Slabinu v zabezpečení objevil pákistánský student IT bezpečnosti Ahmed Mehtab.

 

Gmail se dal ošidit k vyzrazení údajů potřebných k potvrzení vlastnictví účtu

Celá slabina v zabezpečení spočívala ve způsobu, jakým Google zpracovává propojení primárního Gmail účtu s jinou emailovou adresou pro účely předávání zpráv. Jedinou věcí, kterou cracker potřeboval k útoku, bylo znát - či z dostupných emailových adres uhádnout - kterou z těchto adres používá oběť k přeposílání zpráv. Pak už mohl zmanipulovat systém k tomu, aby ověřovací údaje poslal na jakoukoliv emailovou adresu. 

Konkrétně popisuje provedení takového únosu účtu (či v termínech IT security hijackingu) vývojář a softwarový inženýr Uzair Amir: „Útočník se snaží ověřit vlastnictví cíleného účtu tím, že jej pošle na falešnou ověřovací adresu. Tato ovšem neexistuje, proto Google danou zprávu posílá zpět odesilateli - zpráva ovšem už zahrnuje ověřovací údaje. A útočník je použije k potvrzení vlastnictví cíleného účtu.“

Jak takový útok vypadá krok za krokem, můžete shlédnout v Mehtabově videu. Dle všeho už je zranitelnost opravena a na Mehtaba čeká odměna v rámci bug bounty programu Googlu.

Zdroje: HackRead.com

 

 

 

 

 

Získejte PDF Eraser zdarma

Jednoduchých PDF editorů, které nevyžadují přihlášení k online účtu pro vykonání sebemenší maličkosti, už je málo. O to víc potěší, že až do 7. prosince 2022 můžete získat zdarma PDF Eraser, která přesně...

Firefox 106 s editorem PDF a snadným přechodem mezi instancemi

V Mozille se rozhodli usnadnit práci s PDFkami v prohlížeči a nabízejí základní možnosti editace přímo ve čtečce. Příznivcům anonymního módu servírují samostatný spouštěč připnutelný k hlavnímu panelu Windows. A uživatelům...

Avast dešifruje ransomware Hades

Avast uvolnil nástroj pro dešifrování dat zašifrovaných ransomwarem Hades  Nástroj  Avast Decryptor Mafiaware666 zachrání data uživatelům, kteří se stali obětmi variant Háda MafiaWare666, JCrypt, RIP Lmao a BrutusptCrypt, a to sice cracknutím...

Ostrava se může těšit na kvantový počítač LUMI-Q

Národní superpočítačové centrum v Ostravě bude hostit kvantový počítač projektu konsorcia LUMI-Q. LUMI-Q bude výkonnějším následovníkem dosavadního nejvýkonnějšího superpočítače Evropy LUMI, který se...


 
© 2005-2022 PS Media s.r.o. - digital world
 

reklama