Iwo Graj, specjalista zajmujący się bezpieczeństwem usług sieciowych, znalazł drobną na pierwszy rzut oka usterkę w skryptach obsługujących reklamy emitowane przez serwery należące do sieci Gadu-Gadu. Jednak umiejętnie przygotowany atak, wymierzony w mniej świadomych zagrożeń użytkowników, mógłby tę usterkę zmienić w poważną lukę.
Komunikator Gadu-Gadu korzysta z protokołu HTTP, aby pobierać reklamy Flash. Prowadzące do nich odnośniki można wprowadzić do paska adresowego przeglądarki i w ten sposób wyświetlić reklamę. Jednak na tym nie koniec, ponieważ znajdujące się tam obiekty Flash przyjmują parametry pozwalające sterować ich zachowaniem.
Problem
Problem polega na możliwości wykorzystania systemów emitujących reklamy w celu przekierowania użytkownika do dowolnej witryny. Jego przyczyną jest brak filtrowania parametru clickTag przekazywanego do obiektów Flash zawierających reklamy.
Warunkiem koniecznym do przeprowadzenia ataku jest pozyskanie przez potencjalnego napastnika poprawnego identyfikatora reklamy i nakłonienie użytkownika do kliknięcia w przesłany mu –. np. w e-mailu lub za pomocą wiadomości GG - odnośnik w postaci:
http://adserver.gadu-gadu.pl/new/Images/11985?clickTag=http://schain.only.pl/ Warto zauważyć, że wartość parametru clickTag może być zakodowana, aby zmylić internautę i nie pokazywać mu identyfikatora URL:
http://adserver.gadu-gadu.pl/new/Images/11983?clickTag=%68%74%74%70%3a%2f%2f%68%65%69%73%65%2d%73%65%63%75%72%69%74%79%2e%70%6c%2f
Zagrożenie
Wykorzystując wspomniany błąd, można preparować wiadomości poczty elektronicznej wysyłane od rzekomych reklamodawców i informować na przykład o konkursie z cennymi nagrodami. Gdyby odbiorca fałszywej wiadomości okazał się użytkownikiem Gadu-Gadu, to potencjalny napastnik mógłby nakłonić go do wprowadzenia identyfikatora użytkownika i hasła.
Oczywiście intruz musiałby wcześniej przygotować odpowiednią stronę przypominającą wyglądem webowy serwis GG i umieścić na niej formularz logowania. Witryna ta ukazywałaby się użytkownikowi po kliknięciu odwiedzonej reklamy emitowanej przez usługodawcę. Dzięki temu zabiegowi intruz uzyskałby dostęp do listy kontaktów użytkownika i poznał jego dane. Ataki tego typu znane są pod nazwą password harvesting fishing, czyli inaczej łowienie haseł.
Możliwy scenariusz to także wykorzystanie sieciowego robaka automatycznie rozsyłającego odnośniki do osób znalezionych na listach kontaktów. Odsyłacze te zawierałyby oczywiście odwołanie do reklamy z zaszytym łańcuchem kierującym do niebezpiecznej witryny kolekcjonującej wprowadzone identyfikatory i hasła i rozsyłającej kolejne zaproszenia do wzięcia udziału w fikcyjnym konkursie.
Rozwiązanie Usługodawca został powiadomiony o problemie.
wydanie internetowe www.heise-online.pl
