[ Zavřít ] 


 

RSS Kanál

 

Seznam umožňoval únos sezení KE STAŽENÍ

Email Seznam trpěl závažnou bezpečnostní chybou. Skrz krádež cookies se dalo unést uživatelské sezení a získat tak přístup do mailu oběti. Vše odhalil Marek Tóth, který se věnuje odhalování zranitelností informačních systémů profesionálně coby penetrační tester firmy Avast.

 

Seznam umožňoval krádež cookies a únos sezení

Marek Tóth, etický hacker a penetrační tester Avastu, si zranitelnosti všiml při analýze komunikace mezi webovými aplikacemi provozovanými Seznamem. Její zákeřnost spočívala v jednoduchosti útočného vektoru: 

„ke krádeži cookies stačilo pouze to, aby byla oběť přihlášena k e-mailu na Seznam.cz a otevřela libovolnou stránku, ve které byl útočníkův kód. Žádná další interakce od uživatele nebyla nutná.“

Tóth rovnou varuje uživatele domněle vyspělé, že nemusí jít vždy o klikání na URL typu https://klikni-a-vyhraj.czÚtočník bude úspěšnější, pokud využije pokročilejších metod sociálního inženýrství nebo využije nějaké zranitelnosti na nejvíce navštěvovaných stránkách.

Ale k chybě samé. Při přechodu mezi službami Seznamu se přenášela přihlašovací cookies. V řetězci jejich validace ovšem byly díry, které vedly k tomu, že stejnou cestou ukrást přihlašovací cookies uživatele, a tak se dostat do seance jeho přihlášení k emailu. Tóth zjištěnou díru využil v rámci etického hackerství k napsání k útočnému exploitu. Útok probíhal následovně: 

„Uživateli byla zobrazena stránka „Not Found“ se skrytým iframem, který načítal stránku na Swebu. Stačilo tedy, aby byla oběť přihlášená k e-mailu a otevřela odkaz, kde se načítal útočníkův kód (iframe na Sweb). Ihned po navštívení takovéto stránky došlo ke krádeži cookies. “

Další možné způsoby útoku

Použitý exploit byl vysoce sofistikovaný. Tóth přiznává, že stejnou zranitelnost by šlo zneužít i jinými a snazšími cestami:

  • zneužití zranitelnosti na jiném webu - Útočník by využil zranitelnosti na jiné, často navštěvované webové stránce (známý e-shop, zpravodajský web a jiné). Například zneužitím zranitelnosti Stored XSS by dosáhl toho, že by oběť nemusela provést žádnou interakci. Pouhým prohlížení takového webu by mohlo dojít na pozadí k útoku, tedy ke krádeži cookies na Seznamu.
  • odkaz v emailu - Útočník mohl napsat zprávu, která by obsahovala odkaz na stránku se škodlivým kódem. V tomto případě by měl útočník jistotu, že je uživatel přihlášen. E-mail musel být vhodně napsán, aby na odkaz oběť klikla.
  • odkaz na sociálních sítích - Sociální sítě nejsou v dnešní době hrozbou jen z důvodu prokrastinace, ale také velkou bezpečnostní hrozbou. Na Twitteru se často využívají zkracovače typu bit.ly nebo zkracovač samotného Twitteru (https://t.co). Problémem je, že běžný uživatel si často neověřuje, kam daný odkaz ve skutečnosti vede. Stačilo jedno kliknutí na neznámý odkaz ze zkracovače a mohlo dojít ke krádeži cookies.

Všemi způsoby útoku se dalo ukrást sezení nejen pro email Seznamu, ale i pro další uživatelské služby - jmenovitě: Seznam Email, Email Profi, Lide.cz, Firmy.cz, Sreality.cz, Sbazar.cz. Naopak se krádež cookie nedala použít pro profesionální služby, které vyžadují přihlášení ke Klientské zóně, jako jsou Sklik a Seznam Peněženka.

Doporučení pro uživatele

Bezpečnostní doporučení pro zamezení škodám plynoucím z potenciálního napadení jmenuje sám Tóth:

  • odhlásit se z aktivní relace;
  • smazat veškerá aktivní přihlášení na https://profil.seznam.cz/sessions;
  • zkontrolovat nastavení e-mailu a vymazat veškeré podezřelé hodnoty - především:
    • sdílení schránky (https://email.seznam.cz/settings#/multiuser) - v případě, že si útočník přidal svůj e-mail do Sdílení schránky, tak má do vaší e-mailové schránky stále přístup, a to i po smazání všech relací;
    • pravidla (https://email.seznam.cz/settings#/rules) - u pravidel by neměl přístup do vaší schránky, ale v tom nejhorším případě by mu byla v kopii přeposílána veškerá vaše příchozí pošta. Případně mohl nastavit pravidlo, že zapomenuté heslo z jiné služby bude rovnou přeposláno na jiný e-mail.

Jak rychle probíhá oprava zranitelnosti?

Jak rychle reagoval Seznam na bezpečnostní incident, ilustruje Tóth:

  • 09. 6. 2020 15:22 Nahlášená zranitelnost; 
  • 10. 6. 2020 11:31 Potvrzeno přijetí; 
  • 10. 6. 2020 17:32 Nasazen hotfix - doména i subdoména sweb.cz byla zablokována pro CORS požadavky. Stále bylo riziko v případě nalezení XSS na stránkách Seznamu; 
  • 17. 6. 2020 Nahlášená zranitelnost Reflected XSS na Seznam subdoméně (video, img); 
  • 18. 6. 2020 Opravena zranitelnost Reflected XSS; 
  • 14. 9. 2020 K datu již byla zranitelnost z článku opravena. Schváleno zveřejnění zranitelnosti.

Zákeřnost tohoto útoku je o to větší, že probíhá na úrovni síťové komunikace. Neochrání vás před ní antivirový program, silné heslo napadené služby, ani dvoufázové ověření. A netýká se jen Seznamu. Stejnými způsoby lze napadnout všechny komplexní webové služby - a v tomto případě zvláště ty, které nabízejí možnost tzv. jednotného přihlášení.

Zdroje

  • MarekToth.cz

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

V Seznamu je prý bomba

30. června 2021, 13:00 - Anonym nahlásil Policii ČR umístění výbušnin v některé z budov společnosti Seznam v České republice. Ta okamžitě zahájila evakuaci všech budov ve spolupráci s hasiči. Evakuace se dotkla nejen zaměstnanců Seznamu, ovšem všech...

Ostravská Karolina je 70. na světě

Karolina je 70. na světě. Teda ne důl Karolina, ani koksovna Karolina, ani plocha po obou zaniklých entitách Karolina - a dokonce ani obchodní centrum Karolina - ale superpočítač Karolina ze stáje IT4Innovations sídlícího v areálu Vysoké školy...

Seznamu se v roce 2020 dařilo

Seznamu se v době koronakrize dařilo. Počáteční nervozitu z pandemie rychle rozptýlil přesun naprosté většiny uživatelů, konzumentů online produktů i zákazníků kamenných prodejen do online prostředí. Díky tomu Seznam dosáhl obratu necelých 5 miliard...

Seznam, Televize Seznam a Stream.cz: škatule brandů, hejbejte se!

Branding je zapeklitá disciplína a nejedna firma se v něm může ztrácet. Disponujete-li videoobsahem, kanálem televize, televizním zpravodajstvím a subdoménou s TV programem, můžete být z toho jelen rychleji, než vyslovíte Seznam. A proto se Seznam pokusí opět sjednotit...


 
© 2005-2021 PS Media s.r.o. - digital world
 

reklama