Trwa ładowanie...
d2mjden

Poważna usterka w Gadu-Gadu - jesteś zagrożony

Iwo Graj, specjalista zajmujący się bezpieczeństwem usług sieciowych, znalazł drobną na pierwszy rzut oka usterkę w skryptach obsługujących reklamy emitowane przez serwery należące do sieci Gadu-Gadu. Jednak umiejętnie przygotowany atak, wymierzony w mniej świadomych zagrożeń użytkowników, mógłby tę usterkę zmienić w poważną lukę.
Głosuj
Głosuj
Podziel się
Opinie
Poważna usterka w Gadu-Gadu - jesteś zagrożony
d2mjden

Komunikator Gadu-Gadu korzysta z protokołu HTTP, aby pobierać reklamy Flash. Prowadzące do nich odnośniki można wprowadzić do paska adresowego przeglądarki i w ten sposób wyświetlić reklamę. Jednak na tym nie koniec, ponieważ znajdujące się tam obiekty Flash przyjmują parametry pozwalające sterować ich zachowaniem.

Problem

Problem polega na możliwości wykorzystania systemów emitujących reklamy w celu przekierowania użytkownika do dowolnej witryny. Jego przyczyną jest brak filtrowania parametru clickTag przekazywanego do obiektów Flash zawierających reklamy.

d2mjden
Podziel się

Warunkiem koniecznym do przeprowadzenia ataku jest pozyskanie przez potencjalnego napastnika poprawnego identyfikatora reklamy i nakłonienie użytkownika do kliknięcia w przesłany mu –. np. w e-mailu lub za pomocą wiadomości GG - odnośnik w postaci:

http://adserver.gadu-gadu.pl/new/Images/11985?clickTag=http://schain.only.pl/ Warto zauważyć, że wartość parametru clickTag może być zakodowana, aby zmylić internautę i nie pokazywać mu identyfikatora URL:

http://adserver.gadu-gadu.pl/new/Images/11983?clickTag=%68%74%74%70%3a%2f%2f%68%65%69%73%65%2d%73%65%63%75%72%69%74%79%2e%70%6c%2f

d2mjden

Zagrożenie

Wykorzystując wspomniany błąd, można preparować wiadomości poczty elektronicznej wysyłane od rzekomych reklamodawców i informować na przykład o konkursie z cennymi nagrodami. Gdyby odbiorca fałszywej wiadomości okazał się użytkownikiem Gadu-Gadu, to potencjalny napastnik mógłby nakłonić go do wprowadzenia identyfikatora użytkownika i hasła.

Oczywiście intruz musiałby wcześniej przygotować odpowiednią stronę przypominającą wyglądem webowy serwis GG i umieścić na niej formularz logowania. Witryna ta ukazywałaby się użytkownikowi po kliknięciu odwiedzonej reklamy emitowanej przez usługodawcę. Dzięki temu zabiegowi intruz uzyskałby dostęp do listy kontaktów użytkownika i poznał jego dane. Ataki tego typu znane są pod nazwą password harvesting fishing, czyli inaczej łowienie haseł.

Możliwy scenariusz to także wykorzystanie sieciowego robaka automatycznie rozsyłającego odnośniki do osób znalezionych na listach kontaktów. Odsyłacze te zawierałyby oczywiście odwołanie do reklamy z zaszytym łańcuchem kierującym do niebezpiecznej witryny kolekcjonującej wprowadzone identyfikatory i hasła i rozsyłającej kolejne zaproszenia do wzięcia udziału w fikcyjnym konkursie.

d2mjden

Rozwiązanie Usługodawca został powiadomiony o problemie.

wydanie internetowe www.heise-online.pl

Podziel się opinią

Share

Bądź z nami na bieżąco


d2mjden

d2mjden
d2mjden