פירצת אבטחה נוספת בגוגל ו-Gmail

פירצת אבטחה חמורה ב-Froogle, שירות השוואת המחירים של גוגל, מאפשרת למשתמשים זדוניים לגנוב מידע אישי של גולשים באתר.

הפירצה, אשר עליה אנחנו מדווחים כאן לראשונה, התגלתה על ידי ההאקר הישראלי ניר גולדשלגר. הפירצה מאפשרת לתוקף לגשת לתיבות דואר של משתמשים בשירות דואר הרשת Gmail. זאת, באמצעות שתילת פקודות JavaScript בקישור המפנה לאתר Froogle. לחיצה על הקישור תפנה את הגולש לדף המאוחסן באתרו של הפורץ, ותשלח אליו את קובץ ה-Cookie של הגולש, בו מאוחסן המידע האישי, כולל היסטוריית קניות, ושם משתמש וסיסמה ב"גוגל".

לדברי גולדשלגר, גם אם הגולש בחר לא לשמור את ה-Cookie, הקוד הזדוני השתול בדף מאפשר לפורץ לגנוב את הקובץ בכל מקרה, ומאחר ומאוחסן בו מספר סידורי קבוע, המשמש גם לזיהוי הגולש בשירותים כמו Google Alerts ,Google Groups ואחרים. באופן זה, נהנה התוקף מגישה בלתי נמנעת אל כלל התכתובות של המשתמש.

נציין, כי בדומה לפירצה שהתגלתה לאחרונה בשירות הדואר של לייקוס, גם כאן לא יעזור לשנות את הסיסמה, לבצע Logout או למחוק את ה-Cookie המאוחסן במחשב - מאחר והמספר הסידורי קבוע - גוגל לא יכולה לחסום את הגישה לתיבה.

השימוש ב-Cookie עם מספר סידורי קבוע נהוג אצל גוגל מזה זמן מה, ולאחר שלפני כמה חודשים נתגלתה פירצה דומה בשירות Gmail, מנעה החברה את האפשרות לנצל את הפירצה ישירות בתיבה. עם זאת, נראה כי מישהו שם לא ביצע את עבודתו עד הסוף, והשינוי במדיניות האבטחה חלקית בלבד, והבאג תוקן רק ברמה המקומית.

"פירצה מתוחכמת"

לדברי אבירם חניק, מנכ"ל חברת האבטחה Beyond Security, שבדק את הפירצה, "מדובר בהתקפה די מורכבת (ודי מתוחכמת) - בהחלט לא טריוויאלית. בהוכחת היכולת ניתן לראות שההאקר פשוט "גונב" את ה-Cookie של כל מי שלוחץ על הקישור".

חניק מסביר, כי ההתקפה, שילוב בין CSS (או Cross Site Scripting) ל-Phishing, מאפשרת למשל, לאתר מסוים לתת לינק ל-Froogle, בו יוצג מידע מפוברק, וכך להונות משתמשים ולגרום להם להאמין שאתר X מוכר מוצר כלשהו במחיר נמוך ממתחריו, או, לחילופין, לחדור לתיבת הדואר של הגולש".

פירצה קודמת ב-Gmail

"בכל מקרה, מדובר על שבוע רע מאוד לגוגל; אתמול בלילה (ג') התפרסם מידע על פרצה קריטית בשירות Gmail, שמאפשרת לקרוא דואר ששייך לחשבונות אחרים, על ידי משלוח דואר שגוי לשרתי גוגל. אני חושב שזה אולי הזמן מבחינתם לבצע בדיקה רצינית של אבטחת השירותים שהם מספקים", ציין חניק.

חניק מציין, כי יתכן שזו פשוט שרשרת מקרית של בעיות, ולא בהכרח בגישה בעייתית לנושא אבטחת הגולשים, ומזכיר כי "לכולם יש בעיות, השאלה היא מה עושים איתן והאם מתקנים אותן. את הפרצות הקודמות הם תיקנו תוך כמה ימים, וזה מה שקובע".

"הגולשים חייבים להזהר"

עופר אלזם, מומחה אבטחה ישראלי, אומר בעקבות גילוי הפירצה, כי הגולשים חייבים להיזהר. זה מראה שקשה לבטוח באתרים ובתוכן שהם מציגים לנו", אמר. הוא מוסיף עוד, כי בעת כניסה לאתרי מכירה ישירות מתוך אתרי השוואת מחירים, מומלץ לבדוק באופן עצמאי שהקישור המדובר אכן תואם את המציאות, ולא לסמוך על הפניות, אפילו ממקור אמין.

"הטכניקות של הפריצה מוכרות, ואלו גלגולים של בעיות קיימות. ככל שהמערכות הופכות מורכבות יותר, כך צצות סכנות חדשות. בכל מקרה, מה שמדאיג זה כל מה שלא מספרים לנו, וזו בעיה בכל רמה: בבית, בארגון ואפילו במוסדות ממשלתיים".

מגוגל נמסר בתגובה: "לחברה נודע לאחרונה על פירצת אבטחה פוטנציאלית בשירות Froogle. מאז תיקנו את הכשל, וכל משתמשי Froogle הנוכחיים והעתידיים מוגנים".