Dzięki luce w interfejsie programowania Google'a do niedawna można było wysyłać e-maile do użytkowników Gmaila, nie znając ich adresów poczty elektronicznej.
Problem
Jak donosi serwis TechCrunch, użytkownik musiał w tym celu jedynie odwiedzić specjalnie przygotowaną stronę w czasie, kiedy był zalogowany w Google'u. Taka sztuczka udawała się nawet w trybie prywatnym przeglądarki, podczas którego zebrane wcześniej pliki cookie nie mogą być wykorzystywane. E-maile, których temat i treść można było swobodnie wybierać, wychodziły z adresu noreply@google.com i były wysyłane wraz z autentycznym nagłówkiem, w wyniku czego użytkownik praktycznie nie miał szansy na odróżnienie ich od prawdziwych e-maili wysyłanych przez giganta usług wyszukiwania.
Luka została wykryta przez 21-letniego Ormianina Vahe G., który wydał pokazowy exploit za pośrednictwem usługi Google Blogspot. Wkrótce potem Google zablokował jego blog i w odpowiedzi na pytanie serwisu TechCrunch potwierdził istnienie takiego problemu.
Rozwiązanie
Usługodawca twierdzi, że luka została już znaleziona w Apps Script API i załatana.
wydanie internetowe www.heise-online.pl
