Különös jelenségre figyelhettek fel múlt héten a Yahoo levelezőrendszerének felhasználói: mire leveleik eljutottak a címzettekhez, az üzenetek szövegében kicserélődtek egyes szavak. A Yahoo szerdán elismerte, hogy rendszerük automatikusan megváltoztat bizonyos kifejezéseket, hogy így védje a felhasználókat a rosszindulatú hackerektől.
A Yahoo szerdán elismerte, hogy a levelezőprogramja automatikusan megváltoztat bizonyos szavakat, tudatta a Reuters. A Yahoo magyarázata szerint ez egy biztonsági intézkedés: a webalapú levelezőrendszereken küldött üzenetek ugyanis tartalmazhatnak JavaScript kódokat, melyek segítségével a címzett gépén különböző utasítások hajthatók végre. A levelezőrendszer azokat a szavakat cseréli le, melyek szerepelnek a JavaScript utasításkészletében. Így például a "mocha"-t "espresso"-ra, az "eval"-t pedig "review"-ra.
Például a "mocha:" utasítás a Netscape címsorába begépelve felnyit egy ablakot, parancssorral. Egy gonosz hacker ezt a parancssort akár arra is használhatja, hogy megváltoztassa a gyanútlan felhasználó jelszavait.
Nem értesítették a felhasználókat
A Yahoo a News.com kérdésére sem volt hajlandó felsorolni, hogy pontosan mely szavakat cseréli le a levelezőjük. A cég szóvivője közölte, hogy a szavak megváltoztatása csak egy a számos megoldás közül, melyekkel a levelezők biztonságát kívánják szavatolni. A megoldásnak viszont bizonyára kevésbé örülnek azok, akik a Yahoo-n keresztül küldték el jelentkezésüket például egy korrektori állásra, pláne, hogy az eljárásról korábban a Yahoo nem értesítette felhasználóit.
Lehetséges azonban, hogy a bejelentés óta változtatás történt a rendszerben: egy szerdán elküldött, a fenti szavakat is tartalmazó tesztüzenet ugyanis már módosítás nélkül érkezett meg a címzetthez. A Yahoo egyelőre nem nyilatkozott ezzel kapcsolatban.
Nem szokás a szócsere
Néhány biztonságtechnikai szakértő, köztük Alex Shipp, a MessageLabs munkatársa is ésszerűnek tartja az eljárást, de többen megemlítették, hogy tudomásuk szerint más levelezőrendszereknek a szócserélés nem szokása. Richard Smith, a ComputerBytesMan.com biztonságtechnikai lap üzemeltetője szerint inkább arról lehet szó, hogy a Yahoo levelezőszoftvere egyszerűen hibás. Smith szerint a szolgáltatók biztonsági okokból inkább a levelek kódolásán szoktak babrálni, nem az üzenetek szövegén.
A Microsoft szóvivője az ügy kapcsán sietett leszögezni, hogy ingyenes levelezőrendszerük, a HotMail ugyan blokkol bizonyos programkódokat, melyeket esetleg hackerek is használhatnak, de nem változtat az üzenetek szövegén.
Kövesse az Indexet Facebookon is!
Követem!
