Ako velika tvrtka poput Google želi da je i dalje viđaju svi korisnici koji svakodnevno koriste njene usluge i vjeruju joj u svoju privatnost i dokumentaciju kao jedna od najsigurnijih tvrtki na svijetu, moraju provjeriti je li njihova sigurnost uistinu zajamčena. Jedan od načina na koji Google može provjeriti jesu li njegovi sustavi sigurni je program nagrada pri čemu se svako poziva da pronađe sigurnosnu rupu. Ovisno o težini, osoba koja ga otkrije može pobijediti Američki dolar 20.000.
Zahvaljujući upravo ovakvim programima, postoji mnogo korisnika specijaliziranih za sigurnost koji praktički svakodnevno rade na pronalaženju bilo koje vrste problema, prijavljuju ga, pa ih s jedne strane Google popravlja praktički odmah i oni sami mogu zaraditi nešto radeći ono što oni najviše žele poput. Ovaj put vam moram reći o ahmed mehtab, Izvršni direktor tvrtke Security Fuss i pakistanski istraživač koji je upravo pronašao prilično velik sigurnosni problem u procesu provjere Gmaila.
Ahmed Mehtab otkriva postupak potreban za krađu Gmail računa.
Kao što je komentirano, bez potrebe za velikim informatičkim i sigurnosnim znanjem, mogao je bilo koji korisnik preuzeti kontrolu nad računom konkretno korištenjem jednostavnog postupka. Prvo, da bi se izvršila ova radnja, SMTP primatelj se ne može povezati, račun je deaktiviran, primatelj je prethodno blokirao pošiljatelja ili ne postoji ID na koji treba poslati poruku potvrde.
Ako je ispunjen jedan od ova četiri uvjeta, korisnik koji želi ukrasti račun moći će potvrditi vlasništvo nad e-poštom slanjem e-pošte Googleu. Tražilica automatski šalje odgovor na navedenu adresu radi potvrde, jer adresa ne može primiti e-poruku s potvrdom, vraća se poruka izvorniku s kodom za oporavak računa. Na taj način napadač može preuzeti kontrolu nad navedenim računom.
Više informacija: Tehnički crv