Luki w poczcie INTERIA.PL, od roku nieusunięte

Na stronach poczty portalu INTERIA.PL znajduje się kilka luk typu XSS, które umożliwiają wykonywanie dowolnego kodu JavaScript u użytkowników, którzy otworzą odpowiednio spreparowany email, korzystając z przeglądarki Internet Explorer. Taki kod może wykraść cookies użytkownika, skasować jego pocztę z serwera, wysłać ją innym osobom, przekierować na dowolną stronę, poprosić o powtórne wprowadzenie hasła celem wykradnięcia itp.

Interia została powiadomiona o występujących problemach 16 stycznia 2006 i, ponownie, 31 sierpnia 2006. W obu przypadkach potwierdzono przyjęcia zgłoszenia. W rok po otrzymaniu pierwszego zgłoszenia, luki w poczcie Interii pozostają dalej nieusunięte.

Sam fakt obecności tych luk nie jest tutaj oczywiście niczym niezwykłym. Niedawno znaleziono podobne na Allegro, zdarzają się w usługach Google. Tym, co jest tutaj zdumiewające w stopniu skandalicznym, jest brak reakcji. Interia nie podjęła żadnych kroków nawet mimo ostrzeżenia wysłanego dwa tygodnie temu, że po 16 stycznia br. informacje o występujących lukach zostaną podane do publicznej wiadomości bez czekania na ich usunięcie.

Obecność luki została wykryta w sposób mało wyszukany: wpisałem do Google "XSS" (rodzaj luk), kliknąłem w pierwszą pozycję w wynikach wyszukiwania (w tamtym czasie), tam znalazłem listę typowych sposobów "przemycania" JavaScriptu, po czym postanowiłem sprawdzić, jak radzą sobie z nimi poczty kilku największych polskich dostawców webmaili.

Podatne na udokumentowane tam sposoby okazały się poczty Onetu, Wirtualnej Polski, o2.pl, Interii, Nazwa.pl i Home.pl. Z innych sprawdzana była jeszcze Gazeta.pl -- ataki typu XSS w pewnym sensie jej nie dotyczyły, zamiast tego stała szeroko otwarta na inny rodzaj ataków (prawdopodobnie nadal tak stoi).

Po otrzymaniu zawiadomienia o problemie, wszyscy dostawcy z wyjątkiem Interii wprowadzili odpowiednie poprawki. Onetowi zajęło to jeden dzień, innym od kilku dni do paru tygodni.

Zagraniczne poczty (Gmail, Hotmail, Yahoo! Mail) nie były podatne na żadne z udokumentowanych metod.

Pod adresem www.futrega.org/etc/jstest/ znajduje się obecnie formularz, z którego każdy może przesłać sobie prosty email, sprawdzający używaną pocztę pod kątem podatności na przemycanie kodu JavaScript. Problem może też dotyczyć wszelakich systemów, w których odbiera się pocztę od użytkowników przez WWW (systemy CRM itp.).

Większość testowanych tam metod działa tylko przy odbieraniu poczty w przeglądarce Internet Explorer, bowiem wykorzystywane są jej różne "udogodnienia", o których producenci systemów pocztowych często nie wiedzą lub zapominają (pisząc udogodnienia, nie mam na myśli błędów).

Odbierając testowy email na poczcie Interii, można podejrzeć jego źródło i w prosty sposób dowiedzieć się szczegółów, na jakie metody przemycania kodu jest ona ciągle podatna od co najmniej roku.

Zobacz też:

• Luka w pocztach dostępnych przez strony WWW polskich portali
• Konta email w Polsce AD 2006, niepublikowane statystyki

AKTUALIZACJA:

Luki zostały już (podobno) usunięte.

2007-01-17 03:53:00 | linkuj