Google Gmail: “E-mail Hijack” via CSRF

Posted on settembre 28, 2007. Filed under: News |

Petko Petkov, security analyst del gruppo di “ethical hacking” GNUCitizen, ha sviluppato e descritto un codice proof of concept in grado di rubare agli utenti del popolare servizio di webmail Gmail la rubrica e i messaggi in arrivo. Si tratta dell’ennesimo problema di sicurezza nei prodotti di Google svelato in pochi giorni, come segnalato in una news riassuntiva precedente. Sembra tuttavia che Google stia già lavorando ad un fix per quest’ultimo problema, l’attacco infatti genera attualmente un errore indefinito e non può più essere eseguito almeno così come concepito da Petkov.

Dall’articolo “Google GMail E-mail Hijack Technique” di Petkov: “Vi mostrerò come qualcuno può installare una backdoor persistente all’interno del vostro account Gmail e spiare tutte le vostre conversazioni. Ribadisco, è qualcosa di persistente. È un problema molto critico ed è molto improbabile che riusciate a rilevarlo almeno che non siate ‘uber user’. La vittima visita un pagina mentre è loggato in Gmail. Durante l’esecuzione, la pagina esegue un ‘multipart/form-data POST’ ad una delle interfacce Gmail e inietta un filtro di posta nella lista filtri della vittima“.

Nell’esempio di exploit proposto da Petkov, l’attacker scrive un filtro che si occupa semplicemente di filtrare i messaggi di posta con allegati eseguendone il forward verso un altro indirizzo di posta a propria scelta. Petkov commenta: “Tenete in mente che tutte i messaggi futuri saranno inviati in forward allo stesso modo. L’attacco resterà presente finché la vittima avrà questo filtro, anche se la vulnerabilità iniziale, che è la causa della iniezione di codice, viene corretta da Google“. La tecnica utilizzata dal PoC di Petkov è conosciuta come “Cross-site request forgery”, o semplicemente CSRF.

Il ricercatore afferma di non voler rilasciare i dettagli del funzionamento del suo codice di attacco (e quindi di non eseguire una pericolosa full-disclosure della vulnerabilità), tuttavia evidenzia che problemi del genere esistono in altri popolari servizi web. Petkov afferma: “Sì Yahoo è molto meglio in questo momento, in particolare quando si tratta di ‘hardcore Web2.0 API hacking’. Per maggiori informazioni date un’occhiata a questo white paper“. E conclude con una interessante notazione:Se trovate da soli questa vulnerabilità, vi prego di non svelarla pubblicamente. Lasciate che Google la corregga prima, e poi bloggate quanto volete. Inoltre, i browser in ambiente virtualizzato non vi proteggeranno mai da questo tipo di attacchi. In un periodo in cui tutti i dati sono in-the-cloud, non ha senso per gli attacker attaccare la vostra macchina. È molto più semplice installare uno di questi filtri persistenti backdoor/spyware“.

Giorgio Maone, geek italiano, sviluppatore software per Informaction e autore di popolari estensioni per Firefox come FlashGot e NoScript, commenta su Hackademix.net: “i dettagli rilasciati da Petkov sono più che sufficienti per realizzare un PoC in 10 minuti, se il lettore conosce le basi del Cross Site Request Forgery (CSRF) … questo sicuramente vale come una full disclosure pubblica 0day“.

Maone offre anche alcuni consigli, per sviluppatori web e utenti, per proteggersi da questo tipo di attacchi CSRF. Agli sviluppatori web viene consigliato di utilizzare una tecnica di anti-CSRF che prevede la generazione di identificatori random per ogni web form del sito che deve servire ad utenti autenticati (eseguendo una verifica di sicurezza dopo l’invio). Secondo Maone, gli utenti possono invece scegliere se adottare il metodo decisamente “radicale” di sfruttare diversi browser o profili per ogni sito web “sensibile” a cui bisogna accedere, forzandosi a non seguire link esterni mentre loggati, oppure utilizzare una soluzione come Firefox + NoScript, l’add-on di sicurezza realizzato dallo stesso Maone che permette di proteggersi da questo e da altri tipi di attacco basato su JavaScript, XSS, od anche contro le recenti popolari vulnerabilità dei gestori URI. Consigliamo a tutti di leggere interamente l’intervento di Maone che offre numerosi dettagli sulle potenzialità di NoScript.

Fonte.  

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: