Seznam umožňoval únos sezení KE STAŽENÍ

Email Seznam trpěl závažnou bezpečnostní chybou. Skrz krádež cookies se dalo unést uživatelské sezení a získat tak přístup do mailu oběti. Vše odhalil Marek Tóth, který se věnuje odhalování zranitelností informačních systémů profesionálně coby penetrační tester firmy Avast.

 

Marek Tóth, etický hacker a penetrační tester Avastu, si zranitelnosti všiml při analýze komunikace mezi webovými aplikacemi provozovanými Seznamem. Její zákeřnost spočívala v jednoduchosti útočného vektoru: 

„ke krádeži cookies stačilo pouze to, aby byla oběť přihlášena k e-mailu na Seznam.cz a otevřela libovolnou stránku, ve které byl útočníkův kód. Žádná další interakce od uživatele nebyla nutná.“

Tóth rovnou varuje uživatele domněle vyspělé, že nemusí jít vždy o klikání na URL typu https://klikni-a-vyhraj.cz: Útočník bude úspěšnější, pokud využije pokročilejších metod sociálního inženýrství nebo využije nějaké zranitelnosti na nejvíce navštěvovaných stránkách.

Ale k chybě samé. Při přechodu mezi službami Seznamu se přenášela přihlašovací cookies. V řetězci jejich validace ovšem byly díry, které vedly k tomu, že stejnou cestou ukrást přihlašovací cookies uživatele, a tak se dostat do seance jeho přihlášení k emailu. Tóth zjištěnou díru využil v rámci etického hackerství k napsání k útočnému exploitu. Útok probíhal následovně: 

„Uživateli byla zobrazena stránka „Not Found“ se skrytým iframem, který načítal stránku na Swebu. Stačilo tedy, aby byla oběť přihlášená k e-mailu a otevřela odkaz, kde se načítal útočníkův kód (iframe na Sweb). Ihned po navštívení takovéto stránky došlo ke krádeži cookies. “

Další možné způsoby útoku

Použitý exploit byl vysoce sofistikovaný. Tóth přiznává, že stejnou zranitelnost by šlo zneužít i jinými a snazšími cestami:

• zneužití zranitelnosti na jiném webu - Útočník by využil zranitelnosti na jiné, často navštěvované webové stránce (známý e-shop, zpravodajský web a jiné). Například zneužitím zranitelnosti Stored XSS by dosáhl toho, že by oběť nemusela provést žádnou interakci. Pouhým prohlížení takového webu by mohlo dojít na pozadí k útoku, tedy ke krádeži cookies na Seznamu.
• odkaz v emailu - Útočník mohl napsat zprávu, která by obsahovala odkaz na stránku se škodlivým kódem. V tomto případě by měl útočník jistotu, že je uživatel přihlášen. E-mail musel být vhodně napsán, aby na odkaz oběť klikla.
• odkaz na sociálních sítích - Sociální sítě nejsou v dnešní době hrozbou jen z důvodu prokrastinace, ale také velkou bezpečnostní hrozbou. Na Twitteru se často využívají zkracovače typu bit.ly nebo zkracovač samotného Twitteru (https://t.co). Problémem je, že běžný uživatel si často neověřuje, kam daný odkaz ve skutečnosti vede. Stačilo jedno kliknutí na neznámý odkaz ze zkracovače a mohlo dojít ke krádeži cookies.

Všemi způsoby útoku se dalo ukrást sezení nejen pro email Seznamu, ale i pro další uživatelské služby - jmenovitě: Seznam Email, Email Profi, Lide.cz, Firmy.cz, Sreality.cz, Sbazar.cz. Naopak se krádež cookie nedala použít pro profesionální služby, které vyžadují přihlášení ke Klientské zóně, jako jsou Sklik a Seznam Peněženka.

Doporučení pro uživatele

Bezpečnostní doporučení pro zamezení škodám plynoucím z potenciálního napadení jmenuje sám Tóth:

• odhlásit se z aktivní relace;
• smazat veškerá aktivní přihlášení na https://profil.seznam.cz/sessions;
• zkontrolovat nastavení e-mailu a vymazat veškeré podezřelé hodnoty - především:
  • sdílení schránky (https://email.seznam.cz/settings#/multiuser) - v případě, že si útočník přidal svůj e-mail do Sdílení schránky, tak má do vaší e-mailové schránky stále přístup, a to i po smazání všech relací;
  • pravidla (https://email.seznam.cz/settings#/rules) - u pravidel by neměl přístup do vaší schránky, ale v tom nejhorším případě by mu byla v kopii přeposílána veškerá vaše příchozí pošta. Případně mohl nastavit pravidlo, že zapomenuté heslo z jiné služby bude rovnou přeposláno na jiný e-mail.

Jak rychle probíhá oprava zranitelnosti?

Jak rychle reagoval Seznam na bezpečnostní incident, ilustruje Tóth:

• 09. 6. 2020 15:22 Nahlášená zranitelnost; 
• 10. 6. 2020 11:31 Potvrzeno přijetí; 
• 10. 6. 2020 17:32 Nasazen hotfix - doména i subdoména sweb.cz byla zablokována pro CORS požadavky. Stále bylo riziko v případě nalezení XSS na stránkách Seznamu; 
• 17. 6. 2020 Nahlášená zranitelnost Reflected XSS na Seznam subdoméně (video, img); 
• 18. 6. 2020 Opravena zranitelnost Reflected XSS; 
• 14. 9. 2020 K datu již byla zranitelnost z článku opravena. Schváleno zveřejnění zranitelnosti.

Zákeřnost tohoto útoku je o to větší, že probíhá na úrovni síťové komunikace. Neochrání vás před ní antivirový program, silné heslo napadené služby, ani dvoufázové ověření. A netýká se jen Seznamu. Stejnými způsoby lze napadnout všechny komplexní webové služby - a v tomto případě zvláště ty, které nabízejí možnost tzv. jednotného přihlášení.

Zdroje

• MarekToth.cz

 

Daniel Beránek, 01.12.2020 12:07

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

	Náklaďáky řídí umělá inteligence | Solvertech Za volantem náklaďáku ještě stále musí sedět živý chlap (nebo dáma), stále víc jím ale točí umělá inteligence. V podmínkách ropného šoku a trvalé dopravní kalamity přestává na...
	ÚOOÚ šetří kvůli úniku dat Shoptet Úřad pro ochranu osobních údajů (ÚOOÚ) vyzývá klienty Shoptetu, aby prověřili, zda nedošlo k narušení zabezpečení osobních údajů. Podezřelými jsou v tomto případě analytické aplikace firmy MonkeyData, které měly...
	Microsoft Edge chce zavírat panely dvojklikem Vývojáře Microsoft Edge zkouší nové ulehčení práce s prohlížečem. Spočívá v prostém dvojkliku na oušku panelu pro jeho zavření. Funkcionalitka je zatím v testování - a to tak raném, že není ani...
	Ulož.to vymazali z App Storu Apple aktuálně stáhl aplikaci Ulož.to z App Storu. Učinil tak z důvodů nahlášení firmou, která deklaruje, že se zabývá dodržování autorských práv na internetu. Stejná situace se odehrála v března, kdy stejný stěžovatel nahlásil...