Aangezien ik zelf regelmatig Gmail gebruik en ik weet dat de meesten onder jullie ook een account hebben, wil ik jullie op de hoogte brengen van een hack die al lang geleden ontdekt is (door Mike Perry), maar waar Google nu een oplossing voor gevonden heeft. Bij de instellingen van Gmail is nu een extra optie gekomen: helemaal onderaan in het eerste tabblad (Algemeen) bij browserverbinding moet je "altijd https gebruiken" aanvinken. Het nadeel is dan wel dat het de mail vertraagt.De hack (sidejacking genoemd) gebeurt zo:
Als je inlogt bij Gmail, zullen de servers van Google een zogenaamde ‘sessie cookie’ of ‘GX-cookie’ op uw machine zetten. Met deze cookie kan je tot twee weken ingelogd blijven, mits je niet handmatig uitlogt. Na die periode verstrijkt de cookie en moet je opnieuw inloggen.
Het probleem is dat de cookies van Gmail er geen rekening mee houden of je nu wel of niet bent ingelogd via een beveiligde verbinding; ze worden hoe dan ook verstuurd. Een aanvaller die het verkeer op uw netwerk bespioneert, kan hier misbruik van maken. Zodra u na het inloggen een andere webpagina oproept, kan hij kleine afbeeldingen of andere content van mail.google.com injecteren in die pagina. Na het laden van deze geinjecteerde elementen zal uw browser de GX-cookie met inloggegevens tonen. De aanvaller die het verkeer op uw netwerk afluistert, hoeft dan de cookie alleen nog op zijn machine te laden, om in uw inbox te komen.
BELANGRIJK!! De truc werkt ook bij andere websites die net als Gmail bij het verzenden van cookies geen rekening houden met het type verbinding. Hieronder zijn grote namen als Facebook en Amazon.
Meer informatie kan je nalezen in het (Engelstalig) artikel van Brian Krebs op http://www.washingtonpost.com.
Of een filmpje van nog een andere onderzoeker waarin je kan zien hoe ze (heel simpel) inloggen met je paswoord in je gmail-account:
Surf Jacking Gmail demonstration from Sandro Gauci on Vimeo.
zaterdag 16 augustus 2008
Abonneren op:
Reacties posten (Atom)
Geen opmerkingen:
Een reactie posten