Уязвимость в Gmail позволяет красть письма

Британский специалист по вопросам компьютерной безопасности Петко Петков утверждает, что нашел опасную дыру в почтовой службе Google Gmail, которая теоретически позволяет злоумышленникам красть чужие письма.

Как отмечает Петков в своем блоге, проблема связана с системой настраиваемых фильтров Gmail. Для реализации атаки злоумышленнику необходимо вынудить жертву сначала войти в свой Gmail-аккаунт, а затем посетить сформированный специальным образом веб-сайт. В этом случае посредством так называемой методики межсайтовой подмены запроса (Cross-Site Request Forgery, CSRF) нападающий может внедрить в список фильтров жертвы вредоносный фильтр, который будет пересылать сообщения, соответствующие заданным критериям, по нужному адресу электронной почты.

Петко Петков пока не приводит пример вредоносного кода, позволяющего задействовать дыру, однако на сайте специалиста выложены скриншоты, демонстрирующие возможность проведения атаки. Кроме того, Петков особо подчеркивает, что даже если Google устранит уязвимость, ранее внедренный вредоносный фильтр будет пересылать письма до тех пор, пока не будет удален из списка. Компания Google информацию о дыре пока никак не прокомментировала.

Нужно отметить, что за последние полторы недели Петков сделал сразу несколько громких заявлений. Именно Петков нашел способ, позволяющий задействовать уязвимости в Internet Explorer через другие браузеры, например, Firefox или Opera. Кроме того, исследователь недавно сообщил об обнаружении критически опасной уязвимости в программе Adobe Reader, которая может использоваться для захвата полного контроля над удаленным компьютером.