Bármilyen Gmail-fiókot könnyen használhattak volna

A Google súlyos biztonsági rést foltozott be a Gmail szolgáltatás ellenőrző rendszerében. Az ellenőrzést kijátszva a hackerek mindössze pár lépéssel küldhettek levelet tetszőleges @gmail.com és @googlemail.com címekről, persze pár feltétellel. A rést a Security Fuse kiberbiztonsági szakértője, Ahmed Mehtab fedezte fel, aki egy teszt során maga is végrehajtott egy támadást.

A támadást a Gmail ellenőrző rendszerének sérülékenységén keresztül lehetett intézni. Ha egy felhasználónak több Gmail-fiókja is van, akkor azokat összekapcsolhatja a levelezőben, és beállíthatja azt is, hogy az elsődleges e-mail fiókra érkező leveleket továbbítsa a rendszer egy másik megadott címre.

A támadást az alábbi módon lehetett kivitelezni: először egy kiszemelt fiókot kell csatolni a levelezőhöz, de a használatához előbb meg kell erősíteni, hogy valóban a felhasználó az adott fiók tulajdonosa.

A Google ezután küld egy levelet a megadott másodlagos fiókra, amiben megerősítést kér. De mivel a címzett nem tudja megkapni a levelet (inaktív, vagy nem létező fiókkal lehet csak alkalmazni), ezért a támadónak küldi vissza,

Ezután az eltulajdonított címről is tud e-mailt küldeni a támadó, ha a kóddal igazolja, hogy ő a tulajdonos.

Ennek kivitelezéséhez azonban teljesülnie kell az alábbi feltételek egyikének: a kiszemelt, eltéríteni kívánt e-mail tulajdonosának offline módban kell legyen a levelek küldéséért felelős SMTP protokoll, vagy egy deaktivált, illetve akár nemlétező címet kell megadnia.

Gyakorlatban így néz ki ez az elsőre bonyolultnak tűnő folyamat.

A támadó viszont hiába tulajdonítja el a fiókot, nem tudja azt teljeskörűen használni. Az olyan hozzákapcsolódó szolgáltatások, mint a Drive, Photos, Play tartalmát nem éri el, csak leveleket tudott küldeni az ellopott fiók nevében.

A Google október 20-án befoltozta a sérülékenységet. Bugkereső programjukon belül díjazták is a hibát felfedező szakembert.