Το Gmail αποτυγχάνει: το σφάλμα εκτίθεται σε ΚΑΘΕ διεύθυνση ηλεκτρονικού ταχυδρομείου

Το σφάλμα στις διευθύνσεις URL του Gmail επέτρεψε στον ερευνητή ασφάλειας να έχει πρόσβαση σε κάθε διεύθυνση Gmail

Μια ανοιχτή τρύπα ασφαλείας στο Gmail επέτρεψε σε οποιονδήποτε να έχει πρόσβαση στις διευθύνσεις ηλεκτρονικού ταχυδρομείου κάθε χρήστη του Gmail.

Η Google έχει επιδιορθώσει τώρα το σφάλμα αφού ενημερωθεί από τον ερευνητή ασφαλείας Oren Hafif. Το σφάλμα δεν θα είχε αποκαλύψει κωδικούς πρόσβασης ή δεν θα έδινε στους hackers πρόσβαση στους λογαριασμούς, αλλά θα μπορούσε να έχει αφήσει τα άτομα ευάλωτα σε επιθέσεις ηλεκτρονικού "ψαρέματος".

Το ελάττωμα επωφελήθηκε από μια σκοτεινή λειτουργία του Gmail που επιτρέπει στους χρήστες να μεταβιβάζουν την πρόσβαση στον λογαριασμό τους. Το χαρακτηριστικό αποστέλλει μια διεύθυνση URL για να εγκρίνει ή να αρνηθεί την πρόσβαση σε έναν λογαριασμό, αλλά ο Hafif παρατήρησε ότι περιείχε ένα «συμβολικό» στοιχείο, ένα μέρος του οποίου θα μπορούσε να αλλάξει για να καταστρέψει οποιαδήποτε διεύθυνση του Gmail.

Χρησιμοποιώντας ένα εργαλείο που ονομάζεται DirBuster, ο Hafif μπόρεσε να αποκαλύψει 37.000 διευθύνσεις Gmail μέσα σε μόλις δύο ώρες, παραβιάζοντας την ευπάθεια.

Ο Hafif, ερευνητής ασφάλειας για το Trustwave, δήλωσε ότι δεν υπάρχει τίποτα που να τον εμποδίζει να συνεχίσει μέχρι να συλλέξει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου όλων των χρηστών του Gmail. Χρησιμοποιώντας εργαλεία ανωνυμίας, δεν θα υπήρχε τίποτα για να σταματήσουν οι εισβολείς να εκμεταλλεύονται το σφάλμα χωρίς να εντοπίζονται ποτέ.

Μόλις η Google είχε διορθώσει το σφάλμα, ο Hafif κυκλοφόρησε ένα βίντεο που εξηγεί πώς λειτούργησε:

Δεν είναι σαφές πόσο καιρό το σφάλμα ήταν ενεργό, αν και το χαρακτηριστικό της αντιπροσωπείας του Gmail εισήχθη το 2010, οπότε φαίνεται πιθανό να υπήρχε εδώ και χρόνια.

Η Google επιβεβαίωσε ότι είχε διορθώσει το σφάλμα και κατέβαλε 500 δολάρια Hafif για τη βοήθειά του στην ειδοποίησή τους ως μέρος του προγράμματος ανταμοιβής ασφαλείας.