Google закрыла серьезную уязвимость в почтовой системе GMail

Компания Google закрыла в почтовой системе Gmail уязвимость, которая позволяла злоумышленнику похищать почтовые сообщения пользователей совершенно незаметно для самого пользователя.

Данная уязвимость работала, когда авторизованный пользователь добавлял почтовый фильтр в свою учетную запись, данный фильтр при определенных условиях мог форвардировать письма на внешний почтовый адрес, контролируемый злоумышленником.

По словам специалистов из компании Netcraft, сервис Gmail не обрабатывал должным образом запросы на фильтрацию, благодаря чему злоумышленник мог создать веб-страницу с JavaScript-кодом который автоматически производил запросы на фильтрацию. В итоге пользователи, которые ранее авторизовались на Gmail и заходили на злонамеренную страницу незаметно для себя вызывали JavaScript-код, добавляющий ящик злоумышленника в фильтр для форвардинга писем. В итоге, узнать о том, что пользователь "делится" своими письмами с хакерами можно было лишь после тщательной проверки данных почтового фильтра в веб-интерфейсе Gmail.

Специалисты из Netcraft говорят, что в основе данной атаки лежала техника CSRF (Cross-site Request Forgery), на базе которой все чаще хакеры производят свои незаконные действия. Данная техника в общем виде позволяет неавторизованному пользователю при помощи специального кода на веб-странице выполнить те или иные действия от имени авторизованного пользователя.