Skomentuj:
Aby ocenić zaloguj się lub zarejestrujX
O problemie jako pierwsza poinformowała firma SecTheory, której pracownikom haker przekazał szczegóły swojego odkrycia (Eric Hansen z SecTheory opisał sprawę w swoim blogu). Gwoli ciekawostki warto dodać, że to właśnie TrainReg zasłynął kilka miesięcy temu opublikowaniem w Sieci wykradzionych fotografii gwiazdki pop Miley Cyrus.
Błąd w Google Buzz jest dość poważny - umożliwia bowiem nieautoryzowanemu użytkownikowi umieszczenie na stronie w domenie Google.com dowolnego kodu. Dzięki temu luka może zostać wykorzystana m.in. do modyfikowania konta użytkownika, przechwytywania danych czy nawet uzyskania informacji o lokalizacji użytkownika (nawet jeśli ten zaznaczył w opcjach, że nie chce udostępniać takich informacji). "Napastnik" musi jedynie skłonić internautę do kliknięcia na odpowiedni odnośnik i uruchomienia tym samym złośliwego kodu - co nie powinno być szczególnie trudne, bo dzięki XSS ów kod osadzony będzie na stronie Google'a, więc wielu użytkowników z góry założy, że nie ma żadnego zagrożenia. Tym bardziej, że problem występuje na stronie, która jest zabezpieczona protokołem SSL (Secure Sockets Layer), który teoretycznie powinien gwarantować poufność przesyłanych informacji.
Ale to nie wszystko - luka może zostać wykorzystana również do ataków phishingowych - tzn. tworzenia stron podszywających się pod ekran logowania Google i służących do wykradania loginów i haseł do serwisów koncernu (np. Gmail, Picasa itp.).
O problemie wie już Google - firma potwierdziła, że taki błąd istnieje i poinformowała, że jej pracownicy już pracują nad odpowiednim uaktualnieniem (jego wdrożenie będzie niezauważalne dla użytkowników, bo odbędzie się po stronie serwera). Rzecznik koncernu dodał też, że jak na razie nikt nie wykorzystał tej luki do atakowania użytkowników Google Buzz.
Warto dodać, że uruchomiona w ubiegłym tygodniu usługa Buzz - czyli odpowiedź Google'a na Twittera - od początku jest ostro krytykowana przez obrońców prywatności za udostępnianie zbyt wielu informacji o użytkownikach. Koncern już dwukrotnie musiał modyfikować domyślne ustawienia Buzz - m.in. po to, by użytkownik mógł sam zdecydować, jakie dane chce udostępniać (pisaliśmy o tym w tekście "Google poprawia Buzza". Wtedy jednak koncern poprawiał pewne błędy projektowe - tym razem ma do załatania prawdziwą dziurę w zabezpieczeniach.
Czytaj więcej na technologie.gazeta.pl
Błąd w Google Buzz jest dość poważny - umożliwia bowiem nieautoryzowanemu użytkownikowi umieszczenie na stronie w domenie Google.com dowolnego kodu. Dzięki temu luka może zostać wykorzystana m.in. do modyfikowania konta użytkownika, przechwytywania danych czy nawet uzyskania informacji o lokalizacji użytkownika (nawet jeśli ten zaznaczył w opcjach, że nie chce udostępniać takich informacji). "Napastnik" musi jedynie skłonić internautę do kliknięcia na odpowiedni odnośnik i uruchomienia tym samym złośliwego kodu - co nie powinno być szczególnie trudne, bo dzięki XSS ów kod osadzony będzie na stronie Google'a, więc wielu użytkowników z góry założy, że nie ma żadnego zagrożenia. Tym bardziej, że problem występuje na stronie, która jest zabezpieczona protokołem SSL (Secure Sockets Layer), który teoretycznie powinien gwarantować poufność przesyłanych informacji.
Ale to nie wszystko - luka może zostać wykorzystana również do ataków phishingowych - tzn. tworzenia stron podszywających się pod ekran logowania Google i służących do wykradania loginów i haseł do serwisów koncernu (np. Gmail, Picasa itp.).
O problemie wie już Google - firma potwierdziła, że taki błąd istnieje i poinformowała, że jej pracownicy już pracują nad odpowiednim uaktualnieniem (jego wdrożenie będzie niezauważalne dla użytkowników, bo odbędzie się po stronie serwera). Rzecznik koncernu dodał też, że jak na razie nikt nie wykorzystał tej luki do atakowania użytkowników Google Buzz.
Warto dodać, że uruchomiona w ubiegłym tygodniu usługa Buzz - czyli odpowiedź Google'a na Twittera - od początku jest ostro krytykowana przez obrońców prywatności za udostępnianie zbyt wielu informacji o użytkownikach. Koncern już dwukrotnie musiał modyfikować domyślne ustawienia Buzz - m.in. po to, by użytkownik mógł sam zdecydować, jakie dane chce udostępniać (pisaliśmy o tym w tekście "Google poprawia Buzza". Wtedy jednak koncern poprawiał pewne błędy projektowe - tym razem ma do załatania prawdziwą dziurę w zabezpieczeniach.
Czytaj więcej na technologie.gazeta.pl
