» »

Kako ukrasti listo kontaktov v GMailu

Kako ukrasti listo kontaktov v GMailu

Slashdot - Ob začetku letošnjega leta se je izkazalo (problem sicer ni nepoznan v računalniški srenji), da je mogoče enostavno prebrati uporabnikovo listo kontaktov, ko je le-ta prijavljen v GMailu že zgolj z obiskom napačne spletne strani. Srž problema je dejstvo, da GMail hrani kontaktne podatke v javascript datoteki, ki jo je zlahka mogoče prebrati. Trik, kot se zdi, deluje v Internet Explorerju, Operi in Mozilli. Več o tem preberite na Slashdotu.

17 komentarjev

Jeremias ::

Na slahdotu pise da trik deluje samo v Firefoxu, zdi pa se, da ne deluje v Operi in v IE7.

christooss ::

Kaj naj bi naredilo na tistem linku PREBRATI? Ker men tole izpiše

google ({
Success: false,
Errors: []
})

Mam pa FF
Zakaj je nebo modro? Da imamo lahko sladoled Modro Nebo

Zgodovina sprememb…

kriko1 ::

Meni napiše isto v ff ter operi, od obeh imam najnovejše različice:

google ({
Success: false,
Errors: []
})

Sem pa sledil navodilom

|ucko ::

Malo bolj podrobno poglejte komentarje na Slashdotu. Google je pritisnil na cloveka, ki je objavil napako in je pokvaril skript(http://googlified.com.googlepages.com/c... . Drugace pa morajo biti izpolnjeni se drugi pogoji, da deluje(predvsem veljavni piskotek z gmaila). Sem pa preveril. Dela na vseh brskalnikih, ki jih imam. Od FF do IE7. Ni vezen brskalnik, napaka je v gmailu kodi...

Bi pejstov kodo kako sprobat, ampak mi ne pusti, ker so prepovedani zanki, jo pa najdete na Slashdotu med komentarji...

Zgodovina sprememb…

  • spremenil: |ucko ()

kriko1 ::

Sem probal tisto samo vse kar dobim je „Hello“ napis.

fiction ::

Zato ne dela vec. Pohavala Googlu, da je na
1. tako hitro popravil zadevo.

|ucko ::

A vidim... Jest sem to prej preverjal... Sedaj so kodo na gmailu ze popravili... So kar hitri. Niso pa tako hitri, kot si kdo misli, ker tole je morda postalo zelo javno znano sele vceraj, ampak sem opazil porocilo o tem ze 3 dni nazaj(nisem pa gledal datuma objave, clanka pa sedaj ni vec)...

Zgodovina sprememb…

  • spremenil: |ucko ()

Adut ::

Res, bravo Google. Očitno njihovi programerji nimajo počitnic, kot tudi hekerji ne :D

fiction ::

Verjamem da je bil problem znan dosti prej. Ponavadi je vedno tako ob
kaksni novi varnostni luknji. Ce napako odkrijejo zlonamerni osebki, stvar
zacnejo izkoriscati. In prej ali slej pride zadeva v javnost: ali zato ker napako
prevec masivno izkoriscajo ali pa ker se morajo nujno pobahati pred drugimi.

Vazno je koliko casa proizvajalec porabi od tega ko je bil obvescen,
ne koliko casa prej je ze obstajal 0-day exploit.

Me zanima kako je Google vse skupaj odpravil.
Ocitno mora namrec biti se vedno nekako mogoc
"AJAX dostop" do liste kontaktov. Gledajo Referer ali kako?

Aja tisti callback parameter se mi zdi se vedno sumljiv.
Ocitno ga lahko nastavim na karkoli hocem -> XSS attack
Treba bi bilo samo napisati funkcijo, ki bi kradla cookije
od Gmail uporabnikov. Se vedno bi moral uporabnik
obiskati dolocen URL, ampak efekt je isti (oz. se hujsi)
kot to ravnokar odpravljeno.

svencbir ::

Ja, prav imaš. Jaz sem to skripto sprobal ze 20, mogoce 21. decembra. Delovala je enako dobro kot danes.

CaqKa ::

iz fictionovega linka... še ni pofiksano:
>>> Edit #1
>>> Guess it's not fixed, as pointed out in the comments all you have to do is modify the link.

asus ::

Še vedno se da brskat po drugi pošti:D

lukanium ::

Kliknite sem, pa boste dobili lepo oblikovan xml zapis imenika.
When a person can no longer laugh at himself,
it is time for others to laugh at him. [Thomas Szasz]

kriko1 ::

Ja, deluje. Še vedno. Zgleda da niso pofiksali.

XS!D3 ::

Jp dela sm glih zdele probu iz IE 7, tkod a očitno niso pofixal.

fiction ::

Browser nima tukaj prav veliko veze. Ne vem zakaj vsi pisete v stilu "wow meni dela tudi z IE 7".
Ce webserver dolocene podatke poslje jih pac poslje - in JavaScript podporo, hja to imas
pa ce ne uporablas lynx-a v prav vsakem danasnjem brskalniku.

Napaka je bila v tem, da je bilo mozno pridobiti listo kontaktov dolocene osebe
(kar ni tako kriticno), ne pa dostop do tujega uporabniskega racuna.
Pa se pri tem so morali biti izpolnjeni doloceni pogoji:
- uporabnik je moral biti logiran v Gmail
- uporabnik je moral obiskati doloceno (zlonamerno) stran

To, ce dobis XML fajl s podatki NI VEC varnostna pomankljivost in je priblizno tako
kot ce bi rekel "O ne... lahko se prijavim na Gmail". :)
Navsezdanje lahko listo kontaktov v HTML obliki dobis tudi na gmail.com, ne?

Problem je bila JSON predstavitev teh podatkov.
Same origin policy je zascita, ki se uporablja.
Neka stran lahko sicer "zahteva" podatke od nekje drugje (torej zlonamerna stran od Gmaila), ampak
potem do teh programsko ne more dostopati. Torej zlonamerna koda teh ne more posredovati naprej napadalcu, ampak
jih lahko kvecjemu samo prikaze uporabniku.

V tem konkretnem primeru pa je lahko zlonamerna koda overridala Array() konstruktor in Gmailov odgovor v obliki JavaScript tabele j
e poskrbel zato, da je zlonamerna koda na strani pridobila podatke (dejansko se je vedno klical tisti konstruktor, ki je prenesel
podatke "zlobnemu delu").

Sedaj so podatki v XML obliki. Do njih lahko dostopa *.gmail.com preko AJAX-a. Stran, ki se nahaja kje drugje pa tega ne more
in zato torej ni razloga za skrb.

Bistri007 ::

>fiction Neka stran lahko sicer "zahteva" podatke od nekje drugje (torej zlonamerna stran od Gmaila), ampak
potem do teh programsko ne more dostopati. Torej zlonamerna koda teh ne more posredovati naprej napadalcu, ampak
jih lahko kvecjemu samo prikaze uporabniku.


Javni računalnik??? :\ Jaz na svojem compu sploh ne uporabljam web interfaca...
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Unix timestamp

Oddelek: Programiranje
162480 (1967) JeBelaCesta
»

Sekundo daljše silvestrovanje

Oddelek: Novice / Znanost in tehnologija
335210 (3911) christooss
»

Turbolinux in formatiranje diska?

Oddelek: Operacijski sistemi
61081 (996) pesekstyle
»

ATI Crossfire SLI

Oddelek: Strojna oprema
71673 (1492) jest10
»

Samsungovi LCD-ji odslej brez mrtvih točk

Oddelek: Novice / Zasloni / projektorji / ...
406581 (5178) Matev

Več podobnih tem