Google Buzz má v mobilní verzi závážnou chybu

Chyba v mobilním rozhraní nové služby Google Buzz otevřela cestu hackerům pro převzetí účtu uživatele. Kde Google zaspal?


Problém se týká pouze mobilní verze služby, klasická webová stránka je v pořádku. Jako první oznámil problém Robert Hansen z bezpečnostní společnosti SecTheory a označil jej jako středně závažný. Chyba není žádnou novinkou a mohli jste o ní slyšet již před několika lety. Nazývá se cross-site sctipting a umožňuje útočníkům umístit vlastní a kód na mobilní stránky služby.

Pokud se útočníkům podaří váš učet napadnout, mají nad ním plnou kontrolu. Cokoli můžete udělat vy, mohou udělat i oni za vás. Tedy například psát nové zprávy a přidávat followery. Taková věc se dá ještě „přežít“, horší je ale možnost phishingových útoků.  A takový útok už může mít podle Hansena nedozírné následky a útočníci mohou převzít jednoduše kontrolu i nad vašimi dalšími účty. Chybu objevil hacker známý pod přezdívkou TrainReq a e-mailem ji oznámil právě Robertu Hansenovi. Tento hacker se proslavil již dříve, když na internetu zveřejnil fotografie odcizené z e-mailového účtu popové “hvězdy“ Miley Cyrus (seriál Hannah Montana).

V úterý odpoledne podal mluvčí Googlu, Jay Nancarrow, uspokojující zprávu, že na opravě problému se již usilovně pracuje a měla by bát dokončena během několika hodin. Zmínil se také, že zatím není znám případ zneužití chyby. V současné době je tedy chyba s nejvyšší pravděpodobností opravena.

Nicméně, u služby Buzz to není první objevený problém. Již minulý týden, dva dny po svém zveřejnění, se služba stala cílem spamerů. Google tak hned v pátek odhalil několik změn pro zajištění soukromí uživatelů a v několika následujících týdnech se chystají další. Tato situace nahrává kritikům Googlu. Jedním z nich je již zmíněný Hansen, jenž se k situaci vyjádřil velice jednoduše: „Googlu by neměly být svěřovány citlivé informace, když nedokáže uchránit ani své vlastní aplikace.“ Pochybení Google je tedy nesporné, pokud by šlo pouze o samotnou službu Buzz, lze počáteční tápání giganta s přimhouřeným okem omluvit prvotní verzí služby. Buzz je ovšem propojen s Gmailovými účty uživatelů a Google vlastně otevřel jedny z vrátek do svého mailu. A to je bezpochyby "chyba jako hrom".











Komentáře