0day na Yahoo – umożliwia dostęp do cudzego konta pocztowego

dodał 23 listopada 2012 o 08:59 w kategorii Włamania, Wpadki  z tagami:
0day na Yahoo – umożliwia dostęp do cudzego konta pocztowego

Każdy exploit ma swoja cenę, która zależy od zakresu i możliwości jego zastosowania. Im więcej osób znajduje się w zasięgu jego działania, tym drożej. Kod, umożliwiający czytanie cudzej poczty na Yahoo, kosztuje jednak tylko $700. Czemu tak tanio?

Brian Krebs, jak zawsze niezawodny amerykański bloger zajmujący się kwestiami bezpieczeństwa, wczoraj szukał kontaktu do działu bezpieczeństwa Yahoo. Jego fani już wiedzą – jeśli widzisz takiego tweeeta od Briana, to wiedz, że coś się dzieje!


Wiedz, że coś się dzieje

Nie trzeba było długo czekać na więcej informacji. Okazuje się, że na podziemnych forach w sprzedaży znajduje się exploit na Yahoo, umożliwiający czytanie cudzej poczty i wysyłanie jej w imieniu innego użytkownika. Pewien egipski haker sprzedaje go za jedyne 700 dolarów. Czemu cena jest taka umiarkowana? Otóż w przeciwieństwie do ujawnionego w tym roku exploita na Hotmaila, ten nie pozwala na przejęcie cudzej skrzynki, a jedynie na rzut oka na jej zawartość, a do tego wymaga interakcji ze strony użytkownika.

Egipcjanin odkrył bowiem błąd typu stored XSS, czyli możliwość wstawienia do strony przechowywanej na serwerach Yahoo fragmentu własnego kodu. Kod ten może np. kraść ciasteczka lub tokeny użytkownika, zapisane w przeglądarce. W ten sposób można ukraść sesję użytkownika, ale nie da się przejąć jego konta poprzez zmianę hasła. Ten rodzaj błędu umożliwia także ominięcie filtrów anty-XSS wbudowanych w Internet Explorera czy Chroma, wymaga jednak akcji ze strony użytkownika – jeśli nie kliknie on w podesłany złośliwy link w trakcie, gdy jest zalogowany do swojej poczty, to nie grozi mu żadne niebezpieczeństwo.

Co ciekawe, Yahoo nie zdecydowało się do tej pory na płacenie za zgłoszone błędy w swoich serwisach. Z reguły odkrycie tego typu błędu w serwisie Google czy Facebooka mogło by przynieść autorowi ok. tysiąca dolarów. Ciekawe, czy było to jedyna motywacją dla Egipcjanina, by spróbowac szczęścia na czarnym rynku.

Na deser polecamy jeszcze demonstrację błędu, opublikowaną przez Briana. Yahoo ciągle szuka podatnego linku.