Petko Petkov z grupy 'dobrych hakerów" GNUCitizen opublikował proof-of-concept luki cross site scripting (XSS) w poczcie GMail, używanej przez miliony. Luka jest potencjalnie bardzo groźna, bowiem umożliwia nieautoryzowany dostęp do poczty i dowolne na niej operacje, np. wykasowanie wszystkich danych, przekierowanie poczty, albo zmianę hasła. W najłagodniejszym wydaniu umożliwia złodziejom szantażowanie właściciela: zapłać, to odblokuję ci konto; w najgorszym niezauważalne szpiegowanie całej korespondencji.
 

Petkov jest bardzo aktywny - ledwie napisaliśmy o luce XSS w Adobe Readerze (a właściwie we wtyczce do konkretnej przeglądarki), a tu już następna bomba z tej samej kategorii. Nie powinno to dziwić, bo Petkov w tym się specjalizuje - wynajduje słabości aplikacji internetowych na wykonywanie obcego kodu, najlepiej z użyciem popularnych narzędzi. Zarówno format pdf, jak GMail spełniają te kryteria, są używane na całym świecie i luki w nich są z tego choćby powodu potencjalnie bardzo groźne.

Na czym polega mechanizm XSS? Wroga strona, na której lądujemy przypadkiem, bądź też zwabieni spreparowaną wiadomością, reklamą itp. podaje nam ukryty kod skryptu, który wykonywany w tle powoduje utratę kontroli nad maszyną, bądź wykrada informacje i przekazuje w miejsce, które wybrał napastnik. W przypadku luki XSS na Gmailu jest to drugi przypadek: skrypt java kradnie session cookie identyfikujące użytkownika, umożliwiając w ten sposób atakującemu podszycie się pod niego.

Należy pamiętać, że wrogi kod wykorzystujący lukę XSS może być zapisany na dowolnej stronie. Ostatnio bardzo popularne jest wstawianie na blogach, a nawet komunikatorach. Nie chroni przed nim zatem odwiedzanie tylko zaufanych witryn, ani nie uruchamianie załączników. Aby uruchomić kod skryptu wystarczy wejść na zainfekowaną stronę. Jedyną znaną dziś skuteczną ochroną przed luką GMail jest wyłączenie javasript w przeglądarce i/lub korzystanie z szyfrowania SSL łącznie z cookies (cookies mogą być także szyfrowane).

Nie wiadomo, czy ktoś opisaną lukę już wykorzystywał i czy Petkov jest rzeczywiście jej odkrywcą. Google opracowało szybko łatę na opisaną lukę i obecnie GMail jest na nią odporne. Sądząc z prostoty mechanizmu działania XSS Gmail jest wręcz wymarzoną furtką dla włamywaczy spod znaku elektronicznego wywiadu i stawiam 70% prawdopodobieństwa, że opracowano skuteczne narzędzie ją wykorzystujące.

Zagadnieniem godnym bliższej uwagi w kontekście Google Mail jest podatność aplikacji webowych na manipulacje typu XSS. Petkov nie napracował się specjalnie przy swoim badaniu i z pewnością - przy odrobinie chęci - znajdzie w GMailu inne słabości. Podobnych aplikacji używamy coraz więcej. Czy zdajemy sobie sprawę z rozmiaru zagrożeń?