Děravé freemaily?

Není to tak dávno, co internetové vody rozčeřila zpráva o úspěšném průniku do autentizačního systému Microsoft P...


Není to tak dávno, co internetové vody rozčeřila zpráva o úspěšném průniku do
autentizačního systému Microsoft Passport. K získání přístupu k osobním údajům
uživatele služby včetně čísla jeho kreditní karty stačilo tehdy autorovi
průniku Marcu Slemkovi zaslat uživateli speciální e-mailovou zprávu a pomocí
sociálního inženýrství jej přimět, aby ji otevřel. Psalo se o tom tehdy i na
stránkách Computerworldu a mě napadlo, zda podobné chyby neobsahují i české
freemaily.
Po chvíli uvažování jsem začal s prvními experimenty. K nim jsem si vybral
server Seznam E-mail, protože právě u něj mám zřízenu svou vlastní e-mailovou
schránku. Zjistil jsem si, že k průniku do cizí schránky v době, kdy je k ní
přihlášen právoplatný uživatel, stačí získat adresu stránky, kterou si uživatel
prohlíží, a zadat ji do svého browseru. Tato adresa obsahuje autentizační kód
sled písmen a číslic, jehož přítomnost v adrese opravňuje uživatele k přístupu
ke schránce. Také jsem zjistil, že pokud uživateli pošlu zprávu ve formátu
HTML, zobrazí se její text jako příloha zprávy a po kliknutí na odkaz se HTML
zpráva otevře v novém okně, bez jakýchkoliv úprav.
Spojením těchto dvou poznatků jsem dospěl k tomu, že když uživateli služby
zašlu e-mailovou zprávu ve formátu HTML s vloženým skriptem, který po otevření
zprávy nenápadně předá adresu stránky na můj server, získám tak přístup k jeho
schránce do doby, než se ze systému odhlásí, a pokud ukončí práci prostým
zavřením okna prohlížeče, jako to dělá většina lidí, na dobu prakticky
neomezenou. Mohu si přečíst jeho poštu nebo si prohlédnout osobní údaje v
nastavení.
Jednoduchost nalezeného řešení mě překvapila tak, že jsem otestoval i čtyři
další velké české freemaily. I ty se mi nakonec pomocí více či méně odlišných
postupů podařilo prolomit. Systém Můj Mail provozovaný portálem Atlas používá
namísto autentizace v adrese stránky k ukládání autentizačního kódu cookies,
které však lze pomocí skriptu také získat a pak se jimi při kontrole prokázat.
Post.cz zase navíc používá kontrolu IP adresy, takže se k systému nedá připojit
z jiného počítače, než z jakého se k němu uživatel přihlásil. To lze ovšem
obejít upravením skriptu ve stránce tak, aby potají stáhnul a odeslal
útočníkovi zdrojový kód např. seznamu zpráv v doručené poště přímo z počítače
napadeného uživatele. E-mail serveru Centrum touto ochranou disponuje také,
avšak na rozdíl od předchozích tří zobrazuje HTML kód přímo v těle zprávy. Na
druhou stranu některé HTML konstrukce filtruje, takže jsem si musel s kódem
trochu pohrát. Server Email.cz umožňuje kontrolu IP adresy při přihlašování
zapnout, ale standardně je vypnutá. Kód, který jsem použil u předchozích
systémů, úspěšně blokuje, ale podařilo se mi objevit chybu ve skriptu pro změnu
kódování české diakritiky, která mi umožní vložit kód mého skriptu do jím
vygenerované stránky, a protože se tato nachází na serveru Email.cz, můžu ji
vložit do e-mailové zprávy a pomocí skriptu z ní zjistit adresu stránky se
zprávou, což mi opět zajistí přístup ke schránce z jiného počítače.
Na nalezené bezpečnostní díry jsem upozornil provozovatele všech pěti
zasažených freemailů. Podrobnější informace o celém průniku naleznete na
http://unclehacker.mysteria.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.