Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties
Bron: Cyber-knowledge, submitter: rickiii

Middels een Javascript-lek blijkt het mogelijk te zijn contactpersonen van een Gmail-gebruiker te achterhalen door hen naar een website te lokken. Om de hack succesvol te laten zijn, moet het slachtoffer overigens wel ingelogd zijn bij Gmail.

Gmail logoHet probleem schuilt in het feit dat de gegevens van contactpersonen opgeslagen worden in een Javascript-bestand. Daardoor kunnen kwaadwillenden dit bestand gewoon downloaden en zo de erin opgeslagen adressen achterhalen. Het is niet de eerste keer dat Google zich met een lek in zijn mailapplicatie geconfronteerd ziet; de dienst bevindt zich dan ook - zoals het een Google-applicatie betaamt - nog steeds in de bŤtafase. Het is overigens opvallend te noemen dat de exploitcode er niet in lijkt te slagen het adres van het slachtoffer zelf te achterhalen. De voorbeeldpagina op de site waar het lek ontdekt en gedemonstreerd werd is inmiddels offline gehaald. Een gebruiker wijst er echter op dat het lek ook bruikbaar zou geweest zijn wanneer het slachtoffer Javascript uitgeschakeld heeft. Inmiddels zou het lek echter wel gedicht zijn.

Moderatie-faq Wijzig weergave

Reacties (77)

Dit is gewoon weer een zoveelste voorbeeld dat het webplatform voor veel te veel zaken wordt gebruikt waarvoor het nooit ontworpen is.

Het webplatform is niet gebaseerd rondom beveiliging. De "beveiliging" die er is, komt momenteel vrijwel alleen van cookies en browsers, in de vorm van bescherming tegen XSS.

IMHO werken gewone, normale desktopclients veel en veel fijner dan al deze webgebaseerde "web 2.0 ajax"-sites.
het grote voordeel van deze "web 2.0 ajax" sites die je zo noemt, is dat die op elk platform, in elke browser werken. En wie gaat er een apparte desktopclient installeren om zijn hotmail te controleren, of een berichtje met gmail te versturen?
mhm, riiiiiiight, Waarom werkt gmail dan niet op volle toeren in konqueror? Waarom kan je geen attachements versturen in hotmail met konqueror of Opera?

Met desktopapplicaties ben je enkel afhankelijk van protocollen en zijn er vaak meerdere applicaties die hetzelfde kunnen doen, met "web 2.0" ajax applicaties hang je vast aan de good will van de web-programeur of hij zich aan de standaarden wil houden.
sja, en met een client ben je afhankelijk van de goedwill van de programmeur of 'ie het voor jouw platform wil compileren ....
Ik begrijp de frustraties, maar in dit geval is het browser afhankelijk en niet platform afhankelijk. FireFox is tenslotte ook verkrijgbaar voor Linux en dat schijnt prima te werken.

edit: lekker handig die onzichtbare reacties.
(noob alert :+ )
@zaadstra: Als 'ie de broncode vrijgeeft doe ik het zelf wel als ik daar belang bij heb... :-)
Omdat de developers van Konqueror niet de volledige standaarden ondersteunen, en het de moeite niet is als ontwikkelaar zijnde je dan maar aan Konqueror aan te passen.
Konqueror is puin als webbrowser (als filemanager is het een mooie tool daarentegen). Het eerste wat ik altijd doe is meteen Firefox installeren (heeft nog betere font-rendering ook). Veel mensen zullen het als bloat zien (OMFG ! GTK-libraries op een KDE/QT-systeem), maar dat kan aan mij aan m'n reet roesten ;)
De client voor hotmail heeft iedereen die windows gebruikt standaard op z'n computer staan, en voor POP-mail zijn alleen een paar extra instellingen nodig. Voor andere platforms zijn weliswaar geen hotmail clients (voorzover ik weet), maar wel heel veel POP-clients, waaronder ook die voor verschillende platforms geschikt zijn.
En welke client zou dat dan mogen zijn? Als je het zou hebben over het "support" in Outlook Express dan heb je het toch mis want dit werkt al enkele jaren niet meer, de WebDAV support is nu enkel nog voor betalende hotmail gebruikers.
Zover ik weet kan ik Windows Live Mail (of hoe vervanger ook mag heten) als hotmail nog steeds in outlook (express) binnenhalen, zelfs met de opvolger in windows vista lukt me om e-mail binnen te halen

zelfs met nieuwe accounts lukt het nog, dus reageren mijn e-mail clients nou raar??
Ter info: ik maak gebruik van de HTTP support

Edit: dit moest een reactie zijn op XIU
Wat een onzin, er is voldoende beveiliging bij websites mogelijk, Sessions (Cookies) die aan een IP vastzitten zijn best veilig, of in ieder geval moeilijk te kraken. Ook zitten er regelmatig fouten en lekken in desktopapplicaties, die meestal nog erger zijn dan dit (PC infecteren met spyware), dat wordt bij een lek in een webapplicatie veel moeilijker natuurlijk (tenzij de browser ook een lek heeft). Ook e-mail en desktopapplicaties zijn niet gecentreerd rondom beveiliging, je hebt tegenwoordig wel TSL en SSL voor POP3, maar nog lang niet alle servers ondersteunen dat, over lekken in desktopapplicaties heb ik al genoeg gezegt: en dan heb je ook nog is dat bij de meeste computers zodra je fysieke toegang hebt tot de computer je alles kunt doen (incl e-mail en adressen lezen en kopiŽren), zelfs de mensen die een wachtwoord op hun hoofdaccount hebben hebben dat meestal niet op hun Administrator account (winxp home).
Ook: "Iets gebruiken waarvoor iets niet voor ontworpen is", dacht jij dat APRAnet ooit ontworpen was in de gedachten dat miljoenen gebruikers over de hele wereld dagelijks ervan gebruikmaakten en er voor een deel afhankelijk van zijn? (e-mail)

Over je laatste zin: niemand dwingt je om de webapplicaties te gebruiken, jij mag best jouw desktopclient gebruiken hoor, maar dan wordt het toch lastig om buiten je eigen computer je mail te checken...
Je mist het punt. Kijk naar een hedendaags OS. Het user-managment-systeem daarvan, Linux, Solaris, Windows, BSD, MacOS X, you name it, is ontworpen met veiligheid en afscherming als een van de peilers. En dat werkt bijzonder goed. Natuurlijk zitten er wel eens gaten in ja, maar het principe staat overeind.

Het webplatform biedt van oudsher beveiliging als HTTP Authentication. Dat is alleen voldoende voor beveiliging aan server-side. Dat was destijds afdoende, omdat er simpelweg geen javascript was waarmee XSS-aanvallen mogelijk zijn geworden.
Nu zou het systeem eens een flinke update kunnen gebruiken, rekening houdend met de hedendaagse problematiek.

Dus de fundamenten van het webplatform, in zijn huidige vorm, zijn niet toereikend voor de enorme gebouwen die er nu op staan. ARPAnet zou in zijn oorspronkelijke vorm ook niet toereikend zijn geweest voor het huidige internet. IPv4 blijkt al een heel aardig fundament te zijn, maar ook daar hebben we fratsen moeten uithalen (NAT, IPsec)
Even een sanitycheck: je zegt dat web niet bedoeld is om mee te mailen?
Van oorsprong niet nee. Web is een onderdeel van internet net als e-mail een onderdeel is van internet. Later zijn er dingen voor web gemaakt die je laten mailen, maar de mails worden niet via het web verder verzonden, maar via de "e-mail laag" van het internet.
Dat zeg ik helemaal niet. Ik zeg dat HTML/Javascript niet bedoeld zijn als vervanging van (desktop)-applicaties. Zo is HTML is veel te beperkt qua widgets t.o.v. bijv. Java's Swing en mist Javascript heel veel dingen die toch echt wel handig zijn als je een applicatie wilt schrijven.

Use the right tools for the right job. HTML is gemaakt voor websites, niet voor e-mail clients. Als je zo nodig cross-platform werkt, gebruik dan Java met WebStart.
het werkt anders wel best lekker zo. En ik ben blij dat ik mijn gmail overal kan checken waar er een browser is. Ook op mijn mobieltje en een gare demonstratieterminal in een luchthaven.

Het web is er misschien niet voor ontworpen, maar het is er wel prima geschikt voor. En het zou niet de eerste uitvinding zijn die niet gebruikt wordt waarvoor ze bedoeld was.
Gebeurt veel vaker dat dingen voor verkeerde doelen worden gebruikt. zo is HTML ook niet bedoeld om in e-mail te gebruiken. En de magische "XML" hype op dit moment dat alles maar in XML moet, is eigenlijk ook onzin.

Feit blijft dat alles wat client-based wordt opgeslagen mogelijk misbruikt kan worden. of het nu cookies, javascript, ajax, of wat dan ook is. Misschien moet google mail maar over gaan op volledig server-side scripting en de browser alleen (en graag standards compliant) HTML voorschotelen...
XML is al lang geen 'hype' meer, en is zeker wel nuttig. Je hoeft niet meer voor elke config file of data-import een parser te schrijven. Je kunt de syntax makkelijk valideren zonder eigen extra code. Daarnaast kun je ook nog fatsoenlijk character encoding specificeren, zodat je ook daar geen twijfels over hoeft te hebben.

XML is dus heel handig om compleet verschillende applicaties toch met elkaar te kunnen laten communiceren zonder het wiel opnieuw te hoeven uitvinden.
Voor Rich Internet Applicaties (aka web 2.0 sites) zijn er verschillende alternatieven voor ajax. Inderdaad is ajax in mijn ogen nog lang niet uit het beta stadium maar systemen als Flex en WPF lijken veel van de problemen rond HTML/javascript/cookies enz te omzeilen.

Zeker Flex is een volwaardige ongeving voor sites die meer willen dan een automatisch vullende lijst met staten in de vs. Je kan je dan zeker afvragen waarom je nog desktop applicaties zal ontwikkelen. Zeker aangezien zowel Flex als WPF min of meer ongevoelig zijn voor de fratsen van HTML browsers. Erg prettig.
Je noemt 2 proprietaire technieken. Noem dan ook even Mozilla's XUL erbij.

Om met XML je interface te layouten is zeker een prima oplossing. Het idee van HTML is niet slecht, het schiet alleen veel tekort voor full-fledged applicaties. En dan heb ik het nog niet eens over Javascript. Ik vind het een verschrikkelijk en beperkt taaltje en "runtime omgeving".
Nee dit is de reden waarom er al jaren bij gmail het kleine woordje beta staat.

Staat er beta bij dan blijft alles een test en zo probeerd google zich in te dekken voor eventuele claims die het zou kunnen krijgen.

Je moet je echter afvragen hoe serieus een rechter het woordje beta blijft nemen als de dienst al jaren bestaat.
Door een beta-overeenkomst af te sluiten met iedere gebruiker is google al ingedekt. Rechter zal niet veel kunnen doen.
Volgens mij moet hetgeen wat ook echt gebruikt wordt waarvoor het bedoelt is nog uitgevonden worden... :z

Het is nu eenmaal in de aard van de mens om zaken te gebruiken op methodes die niet in eerste instantie voor de hand liggend zijn.

En das maar goed ook, daar komen namelijk de mooiste nieuwe technieken uit.
Inderdaad, Fuzzilogic. Ga deze maar eens kijken.
het lek is helaas nog niet gefixed;
probeer deze link
http://docs.google.com/da...callback=google&max=99999
terwijl je bent ingelogd in je account en schrik (link werkt dus ook indien je geen docs.google service hebt)
Ik las vanmorgen dat als je 1x uitlogt en opnieuw inlogt, dat het probleem dan is opgelost. Bij mij bleek dat te kloppen. Denk omdat ze geen lopende sessies willen breken of zo.
ook effe geprobeert, uit en inloggen, maar het is nog niet verholpen!
En dan heb jij mijn contact gegevens? Kijk wel uit ;)
Als ik mijn contactpersonen zie, is dat toch geen probleem? Zolang andere mensen dit bestand niet kunnen downloaden, vind ik het OK.

Of kunnen anderen dit toch downloaden?
Het probleem is inmiddels alweer opgelost. Toch jammer dat het op zo'n manier moet, waarom kan google niet eerst van het lek op de hoogte worden gebracht? Mochten ze er niet op reageren, dan kan je het als nog publiceren.
dit lijkt me een veel erger probleem en is mogelijk niet opgelost:
http://www.techcrunch.com...-of-mass-email-deletions/
Dit is gisteren gemeld. Het is enkele uren later opgelost. Nuff said.
Toevoeging van nu.nl:
Voor sommige GMailgebruikers eindigde 2006 in mineur. Toen ze inlogden bij de webmaildienst troffen ze slechts lege folders aan.

Google erkent het probleem en zegt onderzoek te doen naar de achtergrond. Volgens het bedrijf zijn ongeveer zestig GMail-gebruikers getroffen.
Gewoon gmail alleen openen als je mail leest. Ga je browsen sluit je Gmail gewoon weer af. Gewoon een standaard iets dat je kunt doen om alles veilig te houden. (anders een VMware (gratis VMware player met linux en mozilla) sessie openen en Gmail daarin opstarten) en op je host browsen. Ik denk dat dat nog het meest safe is.

Of andersom. Gmail alleen op je host en browsen op de VMware machine. Kun je nog straffeloos troep binnenhalen ook.

Toch?
Of de POP mail functionaliteit gebruiken, en niet inloggen op GMail... ;)
vmware gebruiken lijkt me beetje omslachtig en niet alle pc zullen daar zo blij mee zijn. pop lijkt mij ook het veiligst idd.

of gewoon die sites niet bezoeken :P
leuk zo'n hack

maar om dan eerst naar een 'phish' site te moeten gaan
alvorens er 'gehackt' kan worden, vind ik wel erg omslachtig, en hoeveel mensen trappen daar nou in ?

en bij dat, dan hebben ze mijn contactpersonen lijst, en ?
enigste wat ze kunnen doen is spam e.d. versturen, en die krijg je toch al dagelijks
en hoeveel mensen trappen daar nou in ?
Zoals met alle overduidelijke traps....heel veel.
De gemiddelde internet gebruiker heeft namelijk moeite met logisch nadenken tijdens het surfen.

Een test die ik heb gedaan: Gewoon een pagina maken die om het pasnummer en pincode van iemand bankpas vraagt.....en dan gewoon mensen linkje sturen.
Je staat stomverbaasd te kijken dat er nog mensen zijn die het invullen (deze site leek NIET op een banksite, en nee, ik heb de informatie niet bewaard, maar meteen een pagina laten zien dat ze dom bezig waren)
wat nou zo jammer is (ik heb dat ook wel eens gedaan) mensen BLIJVEN erin trappen. zelfs als je zo een waarschuwing laat zien.

het is veiliger als mensen iets meer paranoid worden en huiverig om IETS in te vullen (eg me pa :P ).
hoeveel mensen trappen daar nou in?

Legio, en wel omdat ze geen idee hebben van wat ze aan het doen zijn.

Hoeveel familileden, collega's, vrienden, kennissen mailen een link door naar een filmpje, plaatje, website, de welbekende 'FW' mails. Veel mensen denken dat ze met een virusscanner en evenueel een vuurmuur gevrijwaard zijn van alle schadelijke meuk op internet, en klikken dus maar wat raak.

Hoevaak heb je het zien gebeuren dat mensen bij een pop-up in IE (of andere webbrowser) per definitie op 'Ja' of 'OK' klikken? Ook als ze niet goed gelezen hebben wat er staat. De ene keer gaat het erom of 'automatisch aanvullen' aan of uit moet worden gezet, een andere keer over het downloaden van een Active-X besturing. Mensen kijken/lezen niet voor ze klikken.

Ik denk dat er heel veel mensen zijn die op die manier in allerlei simpele trucjes tuinen van Dhr S. pam en consorten.
Er zijn nog wat meer 'bugs' bij gmail die niet horen, maar die blijkbaar wel bij hen als 'normaal' beschouwd worden.

Ik krijg dus continu email van bepaalde personen met prive gegevens in.
Bij het uitvissen hoe deze personen mij een mail stuurden kwam ik tot de volgende ontdekking, en dat is namelijk dat punten in mailadressen niet uitmaken bij gmail.

Het staat zelfs in de faq van gmail.

'For example, messages sent to GoogleAmy@gmail.com and Google.Amy@gmail.com are delivered to the same inbox'
'Gmail doesn't recognize dots (.) as characters within a username. This way, you can add and remove dots to your username for desired address variations. messages sent to your.username@gmail.com and y.o.u.r.u.s.e.r.n.a.m.e@gmail.com are delivered to the same inbox, since the characters in the username are the same.'

Lijkt mij op een echte MS 'feature' ipv een gmail bug
opzich is het wel te verantwoorden

stel, jij hebt als mailadres

pietjansen@gmail.com

als iemand dan piet.jansen@gmail.com kan registreren, krijg je ongetwijfeld mailtjes voor piet.jansen, omdat mensen de . vergeten
Kan niet catch22; als ik 'username' gebruik als gebruikersnaam dan kan ik user.name@ of username@ gebruiken. Een andere user kan echter niet user.name registreren als gebruikersnaam.
Wanneer zullen ze GMail inderdaad eens officieel uitbrengen? Gewoon wachten totdat alle bug's eruit zijn is in mijn ogen niet echt netjes. Dit lek is schadelijk, maar voor iemand die zijn ogen gewoon open houdt is er weinig aan de hand.
ow ow ow.. wat reageert iedereen soft.
Als microsoft een non-kritiek lekje heeft, is iedereen in rep en roer, maar als de grote 'weldoener' Google wat heeft, is dat 'toch niet zo erg'.

ik stuur jouw een mail met een link die je opent terwijl je gmail gebruikt en ik heb de beschikking over al je contacten! Dat vind ik nogal wat!

Afgezien van alle particulieren die op deze manier geconfronteerd kunnen worden met 'spambots'...
Wat als je als bedrijf al je leveranciers op die manier 'expoost'.
Wat als je als bedrijf al je leveranciers op die manier 'expoost'.
Dan is meteen voor al je leveranciers duidelijk dat je een slecht bedrijf bent. Tenslotte zou je bedrijfsmatig in een productieomgeving nooit en te nimmer met BETA producten moeten gaan werken.
Als microsoft een non-kritiek lekje heeft, is iedereen in rep en roer, maar als de grote 'weldoener' Google wat heeft, is dat 'toch niet zo erg'
Gmail is nog in B»TA, dat wil zeggen dat het nog niet officiŽel gelanceerd is en dus nog bugs mag bevatten.
Dat klopt helemaal, mensen die prooi vallen op de "look a like" website zijn of zien toch duidelijk en verschil van dat er iets niet klopt, of heb ik het mis
Dat zal in de meeste gevallen wel zo zijn omdat scriptkiddies niet zo professioneel zijn, maar de code kan ook een een leeg frame gestart worden natuurlijk. Bovendien is het toch al te laat als je het doorhebt...
Google is een bedrijf wat zich graag associeert met OS groepen, en zo als het er in die hoek altijd aan toe gaat blijft menig aaplicatie in Beta fase hangen ;)
Dit bewijst weer eens hoe goed dat je op moet letten bij het gebruik van webmail toepassingen (zoals GMail e.d.) Natuurlijk zijn er alternatieven, zoals mail via POP3, alleen gaat dan het voordeel van webtoepassingen niet meer op...

Wat ik me wel afvraag is hoe dat het mogelijk is om in de javascript van een andere website te kijken - en vooral waarom dat dit niet geblokkeerd is.

* Little Penguin vindt dat javascript code per website in een soort 'sandbox' zou moeten zitten...

Edit:
Ik zat net de thread hierover op /. te lezen - het blijkt dat de contacten in JSON formaat worden opgeslagen en dat deze in een javascript bestand geplaatst wordt. Doordat de authenticatie via Cookies gebeurt en dat cookie altijd aanwezig is als je ingelogd bent is het dus heel gemakkelijk om bij die data te komen - juist omdat je cross-site javascript mag toepassen - van alle moderne browsers.

(Overigens kan ik nu al een manier verzinnen om dezelfde data op te halen zonder een cookie te hoeven gebruiken - vreemd dus dat hier bij Google niet aan gedacht is...)
Cross site javascript is iets wat je ten alle tijden wilt voorkomen inderdaad. Waarom is dit dan een GMail bug, en niet een browser bug?

Ik weet zeker dat je op deze manier informatie kan verzamelen van allerlei sites waar de gebruiker ingelogd is, niet alleen gmail.
Dit is een bug in GMail omdat de informatie als javascript broncode wordt overgestuurd - als je dan geen extra veiligheids maatregelen neemt dan is het voor een andere site heel gemakkelijk om deze informatie op te halen. (Dit soort constructies zijn al mogelijk sinds JavaScript 1.0, dat men hier bij Google dus niet op gelet heeft is overduidelijk een fout van Google)

Als browsers nu een soort same-origin policy zouden gebruiken voor javascript - of dit naar keuze mogelijk zou maken dan zouden dit soort programmeerfouten niet misbruikt kunnen worden. Helaas bestaat dit niet...
en dan zou ook een heleboel functionaliteit verloren gaan. Om maar wat te noemen: statistiekenleveranciers zoals onestat of nedstat (bestaan die nog) zouden hun werk niet meer goed kunnen doen. En meer van dat soort.
Dit heeft absoluut helemaal NIETS met javascript te maken. Javascript is een resouce bestand net zoals stylesheets dat zijn. Omwille van snelheid (performance) heeft Google ervoor gekozen om de addressen uit jouw adresboek als javascript array op te slaan.

Verder is het feit dat javascript cross-domain is juist ook zijn kracht. Hoewel je er misschien niet dol op bent werken de google ads juist op basis van javascripts die vanaf een google domein worden gedownload. Banners zorgen ervoor dat JIJ niet hoeft te betalen om een dergelijke website te bezoeken.

Ze hadden ook met een javascript wrapper kunnen werken welke alvorens het gevraagde javascript naar de browser te sturen eerst controleren of de sessie wel correct is. In deze onjuist, dan hadden ze een 'leeg' javascript kunnen versturen.
@Niemand_Anders:
Ik geef niet voor niets aan daat dit al mogelijk is sinds JS1.0 - deze lek is dus veroorzaakt door Google en niet vanwege het gebruik van javascript.

Wat echter wel fout is, dat is de manier waarop men JS gebruikt, waardoor een feature van javascript er voor zorgt dat er informatie weg kan lekken.

Overigens moet er aan javascript zelf niets veranderd worden, alleen zou het mogelijk moeten zijn om op de een of andere manier XSS van deze gevoelige data te voorkomen - maar goed dat bestaat natuurlijk ook nog (XML)HttpRequest voor...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True