Gmail-exploit laat aanvallers mogelijk mail doorsturen

De online e-maildienst van Google, Gmail, heeft een beveiligingslek waarmee een aanvaller berichtenfilters in andermans Gmail-account aan zou kunnen maken.

Gmail logo De kwetsbaarheid maakt gebruik van het feit dat Gmail gegevens met de servers van Google uitwisselt wanneer een filter in de webmail wordt aangemaakt. De uitwisseling met de servers bevat een groot aantal variabelen, waarvan twee het doelwit van de aanvaller zijn. De eerste van die twee, een sessie-sleutel, kan vrij eenvoudig verkregen worden door een cookie te stelen van een in Gmail ingelogde gebruiker. De andere variabele, een unieke identifier die is gekoppeld aan de gebruikersnaam, is lastiger te achterhalen, maar kan opgevangen worden door het internetverkeer van het beoogde slachtoffer af te luisteren.

Wie deze beide variabelen in handen heeft, kan een url richting de Gmail-servers versturen met het verzoek een filter in het Gmail-account van het slachtoffer aan te maken. Zonder medeweten van de 'ontvangende partij' kan zo elk willekeurig filter worden aangemaakt, waardoor bijvoorbeeld e-mail kan worden doorgestuurd of verwijderd. In een proof-of-concept wordt deze kwetsbaarheid misbruikt om alle e-mail van een specifiek e-mailadres te forwarden naar de aanvaller en vervolgens te verwijderen uit de Gmail-inbox. De originele ontvanger ziet de berichten nooit en de aanvaller krijgt de beschikking over de e-mailtjes.

In een praktijkvoorbeeld werd de kwetsbaarheid gebruikt om de berichten van domeinregistreerder Godaddy om te leiden. Eigenaren van domeinen die bij Godaddy waren geregistreerd, raakten deze kwijt doordat aanvallers de e-mails gericht aan support@godaddy.com naar zichzelf doorstuurden en deze vervolgens uit de inbox van de registreerder verwijderen. Door daarna Godaddy inloggegevens naar het bij hen geregistreerde e-mailadres te laten sturen, verkregen de aanvallers alle benodigde gegevens om domeinen te stelen.

Gmail-filter Een eenvoudige oplossing voor Google zou liggen in het veranderen van de levensduur van de sessie-sleutel. Door deze niet per sessie, maar per gegevensuitwisseling met de Gmail-servers te laten verlopen, zou het stelen van de cookie met de variabele niet langer werken. Tot die tijd wordt aangeraden regelmatig te controleren of er geen onbekende filters in een Gmail-account opduiken. Vooralsnog heeft Google zelf geen commentaar op het bericht geleverd.

Lees meer

Nieuwste IT Banen

IT trainingen bij Computrain

Reacties (50)

epTa
24 november 2008 11:29

Misschien begrijp ik het niet helemaal goed, maar als je door bijvoorbeeld sniffen de sessiesleutel en een unieke identifier heb achterhaald, dan kan je gewoon een gmail box openen? Dan heb je sowieso het gevaar dat mensen je mail lezen.
Of is het hier het geval dat je meer gegevens nodig hebt om in te loggen, maar alleen die 2 gegevens om een filter te installeren?

Het is wel netjes dat met een url je een filter kan installeren die voor mail forwarding en deletion zorgt.
Wat ik me ook afvraag is waarom een bedrijf(?) verantwoordelijk voor websites zijn belangrijkste mail ontvangt op een gmail adres.

+1 Coocoocachoo
@epTa • 24 november 2008 12:14

Het gaat erom dat je automatisch mails kan doorsturen en verwijderen. Daardoor heeft de gebruiker niet door dat die mail ooit is binnen gekomen.
Als jij opeens een mailtje krijgt met " hier zijn de gegevens waar je om vroeg" dan krabbel je je toch wel even achter de oren en zou je misschien je gegevens voor de zekerheid even wijzigen. Met deze filters zie je dit nooit en krijgen dus alleen degene die de exploit gebruiken het te zien, zonder dat jij ook maar kan vermoeden dat iemand een poging heeft gedaan jouw gegevens op te vragen.

(Overigens moet het in het artikel trouwens volgens mij van GoDaddy zijn en niet aan GoDaddy. Ik kan me namelijk ook niet voorstellen dat zo'n bedrijf gmail gebruikt.)

0 thegve
@Coocoocachoo • 25 november 2008 13:35

Ik kan me namelijk ook niet voorstellen dat zo'n bedrijf gmail gebruikt

Kredietcrisis he, support van godaddy zit tegenwoordig op godaddy_support@gmail.com . Scheelt toch weer wat, als grootste hoster ter wereld zal de traffic die de support mail veroorzaakt wel behoorlijk aantikken.

+1 UniCatcher
24 november 2008 11:32

e eerste van die twee, een sessie-sleutel, kan vrij eenvoudig verkregen worden door een cookie te stelen van een in Gmail ingelogde gebruiker.

Een session hijack dus, wat volgens mij nog altijd niet zo eenvoudig als men hier wil doen geloven.

De unieke identifier is al een extra bescherming hiertegen. Weet niet in hoeverre deze dynamisch dan wel statisch is maar in het eerste geval komt deze eigenlijk overeen met een dynamische session.

i-chat
@UniCatcher • 24 november 2008 11:46

is natuurlijk niet heel makkelijk maar - de vraag is waarom men er geen IP specefieke sessie van maakt ik bedoel, - je kunt neem in aan vrij makkelik achterhalen WIE jouw die HTTP-request stuurt??? of is het raar dat ik het vreemd vind dat en behalve een sessie sleutel totaal nergens naar wordt gekeken.

GoBieN-Be
@i-chat • 24 november 2008 12:31

IP spoofen is niet moeilijk hoor.

DrArcheH
@GoBieN-Be • 24 november 2008 12:59

Dat slaat nergens op.
Het is in het geval van HTTP/TCP wel lastig, aangezien je ook de inhoud van de pakketjes die teruggestuurd worden moet weten. (TCP syn/ack).

On topic:
Als je cookies kan stelen of dataverkeer van je target kan afluisteren, is een erg groot gedeelte van de webapplicaties "kwetsbaar". IP controleren zou helpen, maar dit kan ook problemen geven icm proxies van de gebruikers.

mangahuisman
@i-chat • 24 november 2008 16:28

omdat dit weer hele andere problemen kan veroorzaken, als je in een bedrijf zit met meerdere gateways bijvoorbeeld. Je wilt dat niet om de 5 minuten opnieuw inloggen.

+1 fremar
@UniCatcher • 24 november 2008 12:23

"makkelijk" als je een stuk spyware op de computer weet te krijgen, of z'n internet verkeer kan onderscheppen. in alle andere gevallen lijkt het me inderdaad totaal niet makkelijk om aan die cookie en session te komen.

0 tomhagen
@UniCatcher • 24 november 2008 13:18

Een session hijack dus, wat volgens mij nog altijd niet zo eenvoudig als men hier wil doen geloven.

Dat valt reuze mee. Bij eBay kon je op je persoonlijke pagina javascript injecteren. Vervolgens kon je dan het cookie uitlezen (omdat je op 't zelfde domein zat) en de gebruiker een hidden form laten versturen waarbij de cookie gegevens vrolijk meegestuurd werden.

Aan de andere kant kon je met enkele regels Perl een verbinding openen met eBay en hoppake, je had controle over alle persoonlijke gegevens (Bron: webwereld).

0 jordees
@UniCatcher • 24 november 2008 11:42

Zo'n cookie kan je toch alleen maar van een computer 'stelen' waar iemand ingelogd is geweest?

Ik denk eerlijk gezegd ook dat session-hijacking geen makkelijke wijze van 'hacken' is. Eerder dacht ik altijd dat men uiterst eenvoudig sessies kon uitlezen uit de browser, om zo de gegevens te manipuleren waardoor men bij andermans zaken kon. Dat blijkt dus absoluut niet zo te zijn. Sessies zijn, vooralsnog, vrij veilig. Het is juist het wegschrijven naar een cookie wat het 'onveilig' maakt.

+1 humbug
@jordees • 24 november 2008 12:04

Een cookie gaat in plain text over het internet. Er zijn zat manieren om een cookie te stelen. Zeker als je doelgericht iemands mailbox wil aanvallen

smokalot
@humbug • 24 november 2008 13:33

Een cookie gaat gewoon over dezelfde SSL-verbinding als alle andere data.

wizzkizz

@humbug • 24 november 2008 14:28

Niet als je via HTTPS verbinding maakt met GMail. Dat is een functionaliteit die al jaren beschikbaar is. Dan is het stelen van dat cookie aardig wat lastiger.

0 Ruudjah
24 november 2008 11:24

Exact dezelfde truc heb ik zo'n anderhalf jaar geleden als een eerder gezien bij een blogger (die dus slachtoffer hiervan was). Hij adviseerde de filters te checken in je Gmal account, om te zien of je aangevallen was of niet.

Wat dit nu actueel of nieuwswaardig maakt gaat me even voorbij.

+1 jqv
@Ruudjah • 24 november 2008 11:27

eeuuhh als het een jaar geleden ook al een probleem was, is het nieuws dat het gmail-team (en dus google) er niets aan heeft gedaan.

Een slechte zaak dus als dir gewoon niet gemaakt is.

[offtopict]Als MS een exploit heeft mag er natuurlijk wel een nieuwsitem van worden gemaakt.[ /offtopic]

+1 Zyppora
@jqv • 24 november 2008 11:32

Het kan bijvoorbeeld zo zijn dat ze de toenmalige bug opgelost hebben, en dit keer via een andere omweg hetzelfde kunnen bewerkstelligen. Ik zie Ruudjah verder geen bronvermelding geven of zo, dus wat dat betreft is het puur speculatie. Overigens ben ik het ook met hem oneens dat dit bericht geen nieuwswaarde zou bevatten, al is het maar om GMail gebruikers op de hoogte te stellen.

CMG
@jqv • 24 november 2008 12:09

Volgens mij gaat het hier gewoon om session hijacking, google is heus niet de enige die daar last van heeft, lol. Op het moment dat iemand je verkeer kan sniffen ben je sowieso het haasje in de meeste gevallen (voor de windows users: start Cain & Abel eens op je eigen machine en kijk maar eens wat er allemaal te sniffen valt).

OddesE
@CMG • 24 november 2008 15:04

Inderdaad dit is 'gewoon' session hijacking.

De eerste van die twee, een sessie-sleutel, kan vrij eenvoudig verkregen worden door een cookie te stelen van een in Gmail ingelogde gebruiker.

Ahem. Hoezo vrij eenvoudig? Verklaar u nader Tweakers.net. Het is zeker niet de bedoeling dat de sessie-id makkelijk te raden of stelen is... Als deze in verkeerde handen valt is de hele account van de gebruiker compromised...

Wie deze beide variabelen in handen heeft, kan een url richting de Gmail-servers versturen met het verzoek een filter in het Gmail-account van het slachtoffer aan te maken. Zonder medeweten van de 'ontvangende partij' kan zo elk willekeurig filter worden aangemaakt,

Ja. En wie het sessie-id in handen heeft kan ook, zonder medeweten van de gebruiker:
* Alle mail lezen
* Alle contactpersonen uitlezen
* mail namens de gebruiker sturen
* Alle mail van de gebruiker verwijderen
* Het wachtwoord aanpassen
* De hele account opheffen...

Waarom is het dan van belang dat men een filter kan installeren? Waarschijnlijk omdat men dat weer kan gebruiken om mail te relayen via GMail... maar ja aangezien tweakers.net niet de moeite neemt de inhoud van het nieuwtje correct weer te geven zullenw e het nooit weten....

MueR
@Ruudjah • 24 november 2008 11:30

GMail wordt best veel gebruikt en lang niet iedereen zal op de hoogte zijn van een dergelijk lek. Dat maakt het dus wel degelijk nuttig. Daarbij zijn de proof-of-concepts vandaag gepubliceerd, dus heb je niet alleen het woord van een enkele blogger, maar meteen praktijkgevallen. Maareh, als je het een jaar of anderhalf terug al las, waarom submit je iets dergelijks dan niet?

OddesE
@MueR • 24 november 2008 15:07

Ach onzin. Als je sessie-id in verkeerde handen valt is je hele account compromised. Je kan net zo goed je wachtwoord afgeven. Dit 'lek' werkt alleen als ze je sessie-id hebben. Daar is gelukkig nog niet zo gemakkelijk aan te komen.

Het sessie-id is de 'last line of defense' in een web applicatie. Als die compromised is is *alles* compromised. Verder gewoon een niftig truucje om mail van iemand te onderscheppen *nadat* je al de god-key in handen hebt.

_wm_
@Ruudjah • 24 november 2008 12:15

Je kan je Gmail standaard via HTTPS laten versturen... dat zou toch afdoende moeten zijn lijkt me?

0 thegve
@_wm_ • 25 november 2008 12:33

Dit is gewoon FUD (Fear, uncertainty and doubt).

In ander nieuws:
Tweakers.net exploit laat aanvallers mogelijk accounts overnemen. Als een aanvaller het sessie-id heeft gestolen (triviaal) kan hij eenvoudig het wachtwoord van het slachtoffer wijzigen.

Eventuele kleine verbetering die er is, om met elke request een nieuw sessie-id te nemen. Via session_regenerate_id voor de PHP'ers. ( http://nl2.php.net/manual...session-regenerate-id.php ). Dat maakt het op zijn minst verrekte irritant voor een hacker, en degene die aangevallen word zal het hoogstwaarschijnlijk direct merken (doordat de aanvaller bij zijn request meteen de sessie-sleutel wijzigt, en de ID die het "slachtoffer" heeft dus ongeldig zal zijn).

GoBieN-Be
@Ruudjah • 24 november 2008 12:28

Dus eerst moet je al een cookie (sessie-ID) van het slachtoffer stelen, daarna moet je nog verkeer afluisteren om een gebruikers-sleutel te hebben. En dan pas kun je filters gaan instellen.

Lijkt me dat er wel nog meerdere services hiervoor zouden kwetsbaar zijn.

zanza006
24 november 2008 11:21

'tjah het is officieel nog altid maar een beta.
'k vraag me eigenlijk af wanneer het ooit uit de beta stage zal komen

Blokker_1999

Beheer en beveiliging

@zanza006 • 24 november 2008 11:30

Zolang er kritiek is op mogelijke schending van de privacy zal dat niet zomaar gebeuren.

Bliksem B
@Blokker_1999 • 24 november 2008 12:26

Welke schending van privacy? Zover ik weet, schend Google niet jouw privacy door jouw een beetje reclame/nieuws voor te schotelen. En dit doet ze alleen door wat woorden uit jouw mails te scannen en daar een automatische reclame van te maken. Die trouwens alleen bij het lezen van berichten zichtbaar is.
Als je trouwens hun beleid wil nalezen: klik hier

Als je dit bijvoorbeeld vergelijkt met hotmail, dan krijg je al meteen reclame in je welkom scherm en geen kleintjes, boven aan een dikke banner, rechts een lekkere grote banner. En dan plakken ze ook nog eens reclame achter je onderwerp, lekker professioneel. Maar ook microsoft gebruikt jouw cookies om informatie te verzamelen om jouw betere "ondersteuning" te geven . Als je hun verklaring wil lezen: klik hier

+2 ppl

E-mail
Beveiliging

@Bliksem B • 24 november 2008 13:13

Het lezen van de e-mail wordt gezien als privacyschending, niet het weergeven van ads!
Als je bedenkt dat hier in Nederland e-mail onder het briefgeheim valt is Google schuldig aan het plegen van een misdrijf.

@hieronder: scannen is ook de inhoud van de mail lezen. Het is niet echt van interesse of dit lezen door een computer of een mens gebeurt. Het idee van het briefgeheim schendt je hiermee en daarmee dus ook de wet. De wet bestaat namelijk niet alleen uit domweg regels, het gaat ook om het idee achter die regels (volgens de letter der wet en in regel der wet: zoals het er exact staat, zoals het bedoeld is). Of een mens of een computer de inhoud leest, scant of hoe je het noemen wilt houdt nog steeds in dat jouw informatie wordt doorgenomen en dat een ander daarmee aan de haal kan gaan (hetzij omdat iemand het leest of omdat iemand de machines die de boel scannen hackt).

[Reactie gewijzigd door ppl op 24 november 2008 19:18]

Arne
@ppl • 24 november 2008 15:12

En dat zou opeens niet meer zo zijn wanneer ze het een beta-product noemen? Dat maakt voor onze wet echt geen verschil.

Marzman

E-mail

@ppl • 24 november 2008 13:18

Er wordt geen mail gelezen, er wordt mail gescanned op woorden waar ads aan gekoppeld worden. Het spamfilter werkt ook zo, maar daar hoor je nooit iets over omdat bijna elke provider een spamfilter heeft.

+1 ppl

E-mail
Beveiliging

@Marzman • 24 november 2008 19:22

Het spamfilter werkt niet zo. Spamfilters kijken naar andere specifieke zaken. Meestal zijn spamfilters al van het niveau dat er aan de poort de nodige dingen worden geweigerd en dat wat door komt wordt nog gescanned op bepaalde headers, of er attachments aan vast zitten, of er html gebruikt wordt, etc. De eigenlijke inhoud laten ze meestal ongemoeid. Bij Google hebben ze juist die inhoud nodig om te bepalen welke ads ze moeten weergeven. Net als bij een virusscanner wordt er alleen naar bepaalde eigenschappen van een mail gezocht en niet naar inhoud. Imho is dat een wezenlijk groot verschil.

0 tomhagen
@ppl • 24 november 2008 23:12

Spamfilters kijken naar andere specifieke zaken. Meestal zijn spamfilters al van het niveau dat er aan de poort de nodige dingen worden geweigerd en dat wat door komt wordt nog gescanned op bepaalde headers, of er attachments aan vast zitten, of er html gebruikt wordt, etc.

Dit gebeurt inderdaad vaak. Met name afzender adressen worden uit de headers gehaald (vb DNSBL, DomainKeys, SPF etc.).

Echter is dat slechts de eerste schifting. Daarna zal je mail doorgaans door een Bayesian filter gaan, waarvan SpamAssassin waarschijnlijk de bekendste is. Deze filters interpreteren wel degelijk de content echter kun je deze filtering system ook vaak weer uitzetten (en de google ads niet).

0 tomhagen
@Marzman • 24 november 2008 14:55

Er wordt geen mail gelezen

Dat ligt aan je definitie van "personal information"

quote: http://www.google.com/privacypolicy.html
We restrict access to personal information to Google employees, contractors and agents who need to know that information in order to operate, develop or improve our services

alienfruit
@Marzman • 24 november 2008 14:55

Jaja, dus als ik jouw post open en alleen scan voor woorden om vervolgens bij je aan te bellen met wat interessante aanbiedingen. Heb je daar geen problemen mee?

[Reactie gewijzigd door alienfruit op 24 november 2008 14:55]

Blaise
@alienfruit • 24 november 2008 16:46

@alienfruit: Daar heb ik wel problemen mee, want dan wordt het handmatig gedaan door een menselijk persoon; iemand met emoties en iemand die begrip heeft van context en echt begrijpt wat hij leest. Misschien leest die wel even door als je in een email schrijft over je avonturen met de buurvrouw. Dat maakt het een stuk persoonlijker en een stuk minder anoniem dan een robot.

0 hackerhater
@alienfruit • 24 november 2008 16:00

tjah het moet ergens van betaald worden
je betaald dus voor Gmail door die ads

0 RaZzz
@alienfruit • 24 november 2008 16:54

Nee, want dan ben jij aan het lezen. Als je de post in een machine stopt, die er kernwoorden uit haalt, en ze niet naar context interpreteert, dan ben je aan het scannen.

Niettegenstaande dat ik wel vind dat je gelijk hebt, hoor

[Reactie gewijzigd door RaZzz op 24 november 2008 16:55]

brabbelaar
@zanza006 • 24 november 2008 18:44

Dat vraag ik me ook wel eens af. Maar ook als het geen beta is worden er wel eens fouten in software gevonden... en dan druk ik me nog voorzichtig uit...

Software == bugs.

@blokker_1999 wat is dat toch steeds met de relatie 'privacy - beta( - rechtszaak)'. Het heeft imho niets met elkaar van doen. Privacy schenden is nooit goed en wordt niet beter/slechter door je software een labeltje als 'beta' te geven. Ook ontslaat het je van geen enkele juridische aansprakelijkheid zoiets te doen.

CrashOne
24 november 2008 12:54

Los je dit probleem niet op door in Gmail aan te geven dat je altijd alleen verbinding wilt over SSL? Dan is de gegevens uitwisseling ook versleuteld en kan de verbinding tussen client en de Gmail server niet zomaar bekeken worden.

0 tomhagen
@CrashOne • 24 november 2008 14:05

Ik ken de precieze details niet van deze exploit, maar als deze net zo werkt als de ebay hack, dan heeft inloggen met SSL weinig nut.

0 Kenobot
24 november 2008 13:57

Kan je door het afluisteren van een verbinding niet sowieso al achter iemands inloggegevens komen? Oftewel, een man-in-the-middle attack ....

0 matiov
@Kenobot • 24 november 2008 14:26

mitm doe je door traffic te relayen. En dan gaan de ssl certificaten klagen (als je tenminste ontsleuteld en versleuteld als mitm attacker).

Dus het kan ja, maar dan moet het het 'geluk' hebben dat iemand maar klakkeloos op 'trust' drukt.

0 Kenobot
@matiov • 24 november 2008 15:00

dat doen dus de meeste mensen

en gmail is niet in ssl, alleen als de gebruiker dat instelt.

0 almar
24 november 2008 18:16

Nou ik vind dit maar een mager nieuwsbericht. Dat er verschillende XSS exploits in gmail te vinden zijn die nog niet opgelost zijn weet ik, dit zou alleen al kunnen leiden tot voldoende verontrustende situaties waarvoor die ID niet eens bekend hoeft te zijn..

HoeZoWie
25 november 2008 12:00

De kwetsbaarheid maakt gebruik van het feit dat Gmail gegevens met de servers van Google uitwisselt wanneer een filter in de webmail wordt aangemaakt.

Dan is de tijdelijk oplossing op de kwetsbaarheid ook éénvoudig:
Gewoon geen filters toepassen! (aanmaken)

0 TBM-Fan
28 november 2008 02:31

Maar vreemde filters of gewijzigde filters zijn verdacht
tenminste ik neem aan dat die niet verborgen kunnen worden......

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers