Barbara, Borbála
-5 °C
3 °C

Biztonsági hiba a Google levelezőjében

2005.01.13. 16:00
Egy lehagyott kacsacsőr miatt a hackernek csak a megfelelő levelet kell magának küldenie, és máris valaki más levelét olvashatja.

A HBX Networks amerikai Unix közösség egyik tagja MrYowler úgy döntött szkriptet ír, amellyel hírlevelet küldhet a HBX ingyenes hacker-barát shell-szolgáltatásáról. Perl guru lévén húsz perc alatt összeütötte a kódot, és rögtön Gmailes címekre küldött levelekkel tesztelte művét.

Az üzenet elsőre rendben megjelent, azonban amikor meg kívánta tekinteni az opciókat, a "Reply To" mezőben ismeretlen HTML-kód jelent meg: egy ismeretlen HTML-levele.

A hiba okát kutatva kiderült, hogy a Perl szkript lehagyja a feladó mezőben a "From" után következő cím mögül a lezáró ">" karaktert. A unixos szakember arra a következtetésre jutott, hogy a Gmail emiatt olvassa be az idegen kódot, míg a lezáró jel fel nem bukkan illetve ameddig a mező kiterjedése engedi.

Kis hiba, komoly hack

A hibával kapcsolatban megállapította, hogy a legtöbb esetben csak a más levezőknek érkező spamet lehet kihorgászni vele, de egy esetben jelszavakat tartalmazó komoly levelet is elkapott. A hibát kihasználó hackernek csak hibásan megadott címről kell üzeneteket küldözgetnie magának.

A Google ingyenes internetes levelező szolgáltatása 2004 áprilisa óta meghívásos alapon működik, fejlesztése jelenleg béta fázisban van, működése nyilvános tesztüzem. A Gmail egy gigabájt tárhelyet biztosít a felhasználónak, bár indulása után nem sokkal egy szoftverhiba miatt elterjedt, hogy a cég ezt egy terabájtra növeli. A HBX Networks által feltárt rendellenesség a rendszer első komoly biztonsági kockázattal járó hibája.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Év végi utazás

Ajándékozzon utazást, töltse a karácsonyt és a szilvesztert külföldön!