Hackere kan tappe din Gmail-konto

Derfor bør du aldri sende følsom e-post med gratistjenester.

24. nov. 2008 - 13:55

En svakhet ved Googles populære e-posttjeneste Gmail skal gjøre det mulig for angripere å stjele e-post fra brukernes kontoer.

Dette kan de gjøre helt uten at brukeren selv oppdager noe, ifølge et konseptbevis som ble publisert på nettstedet GeekCondition.com i helgen.

Metoden beskriver hvordan en angriper kan manipulere filtre i Gmail-tjenesten, slik at din e-post videresendes til svindlerne.

Angrepet starter ved å stjele en informasjonskapsel, også kjent som en «cookie», fra brukere som er innlogget på Gmail-tjenesten. Dette kan skje ved hjelp av ondsinnet kode, som er skjult på en nettside brukeren besøker.

Manipuleringen av e-postinnstillingene i Google-tjenesten kan deretter utføres ved hjelp av vanlige nettleserkall, i form av en URL med en rekke variabler. Det skjules for brukeren i et usynlig iframe-vindu.

Det er ifølge «Brandon», forfatteren av innlegget vanskelig, men ingen umulig oppgave å manipulere tjenesten på denne måten.

En rekke nyhetstjenester melder at den nevnte svakheten kan benyttes for å stjele domenenavn. Grunnen er at angriperne kan be domenetjenester sende påminnelse om passord til manipulerte e-postkontoer.

Bruker du Gmail bør du ifølge Geek Condition med jevne mellomrom undersøke filtrene for e-posttjenesten, slik at du kan avdekke om meldingene dine videresendes uten din viten.

Det er også en fordel å alltid logge seg ut av tjenesten etter bruk.

En annen løsning, som foreløpig kun finnes for brukere av Firefox, er å installere tillegget NoScript, som er blant de mest populære utvidelsene til nettleseren.

«Brandon» hevder han også har løsningen klar for Google: De bør sørge for at den berørte sesjonsnøkkelen utløper etter hvert nettleserkall, og ikke hver innloggede sesjon som nå.

Problemene med angrep basert på stjålne informasjonskapsler gjelder ikke bare Gmail, advarer ZDNet.

Ifølge tidsskriftet kan alle nettsteder som benytter cookies til autentisering av brukere utnyttes på samme måte.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.