Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties

De online e-maildienst van Google, Gmail, heeft een beveiligingslek waarmee een aanvaller berichtenfilters in andermans Gmail-account aan zou kunnen maken.

Gmail logoDe kwetsbaarheid maakt gebruik van het feit dat Gmail gegevens met de servers van Google uitwisselt wanneer een filter in de webmail wordt aangemaakt. De uitwisseling met de servers bevat een groot aantal variabelen, waarvan twee het doelwit van de aanvaller zijn. De eerste van die twee, een sessie-sleutel, kan vrij eenvoudig verkregen worden door een cookie te stelen van een in Gmail ingelogde gebruiker. De andere variabele, een unieke identifier die is gekoppeld aan de gebruikersnaam, is lastiger te achterhalen, maar kan opgevangen worden door het internetverkeer van het beoogde slachtoffer af te luisteren.

Wie deze beide variabelen in handen heeft, kan een url richting de Gmail-servers versturen met het verzoek een filter in het Gmail-account van het slachtoffer aan te maken. Zonder medeweten van de 'ontvangende partij' kan zo elk willekeurig filter worden aangemaakt, waardoor bijvoorbeeld e-mail kan worden doorgestuurd of verwijderd. In een proof-of-concept wordt deze kwetsbaarheid misbruikt om alle e-mail van een specifiek e-mailadres te forwarden naar de aanvaller en vervolgens te verwijderen uit de Gmail-inbox. De originele ontvanger ziet de berichten nooit en de aanvaller krijgt de beschikking over de e-mailtjes.

In een praktijkvoorbeeld werd de kwetsbaarheid gebruikt om de berichten van domeinregistreerder Godaddy om te leiden. Eigenaren van domeinen die bij Godaddy waren geregistreerd, raakten deze kwijt doordat aanvallers de e-mails gericht aan support@godaddy.com naar zichzelf doorstuurden en deze vervolgens uit de inbox van de registreerder verwijderen. Door daarna Godaddy inloggegevens naar het bij hen geregistreerde e-mailadres te laten sturen, verkregen de aanvallers alle benodigde gegevens om domeinen te stelen.

Gmail-filterEen eenvoudige oplossing voor Google zou liggen in het veranderen van de levensduur van de sessie-sleutel. Door deze niet per sessie, maar per gegevensuitwisseling met de Gmail-servers te laten verlopen, zou het stelen van de cookie met de variabele niet langer werken. Tot die tijd wordt aangeraden regelmatig te controleren of er geen onbekende filters in een Gmail-account opduiken. Vooralsnog heeft Google zelf geen commentaar op het bericht geleverd.

Moderatie-faq Wijzig weergave

Reacties (50)

Misschien begrijp ik het niet helemaal goed, maar als je door bijvoorbeeld sniffen de sessiesleutel en een unieke identifier heb achterhaald, dan kan je gewoon een gmail box openen? Dan heb je sowieso het gevaar dat mensen je mail lezen.
Of is het hier het geval dat je meer gegevens nodig hebt om in te loggen, maar alleen die 2 gegevens om een filter te installeren?

Het is wel netjes dat met een url je een filter kan installeren die voor mail forwarding en deletion zorgt.
Wat ik me ook afvraag is waarom een bedrijf(?) verantwoordelijk voor websites zijn belangrijkste mail ontvangt op een gmail adres.
Het gaat erom dat je automatisch mails kan doorsturen en verwijderen. Daardoor heeft de gebruiker niet door dat die mail ooit is binnen gekomen.
Als jij opeens een mailtje krijgt met " hier zijn de gegevens waar je om vroeg" dan krabbel je je toch wel even achter de oren en zou je misschien je gegevens voor de zekerheid even wijzigen. Met deze filters zie je dit nooit en krijgen dus alleen degene die de exploit gebruiken het te zien, zonder dat jij ook maar kan vermoeden dat iemand een poging heeft gedaan jouw gegevens op te vragen.

(Overigens moet het in het artikel trouwens volgens mij van GoDaddy zijn en niet aan GoDaddy. Ik kan me namelijk ook niet voorstellen dat zo'n bedrijf gmail gebruikt.)
Ik kan me namelijk ook niet voorstellen dat zo'n bedrijf gmail gebruikt
Kredietcrisis he, support van godaddy zit tegenwoordig op godaddy_support@gmail.com . Scheelt toch weer wat, als grootste hoster ter wereld zal de traffic die de support mail veroorzaakt wel behoorlijk aantikken.
e eerste van die twee, een sessie-sleutel, kan vrij eenvoudig verkregen worden door een cookie te stelen van een in Gmail ingelogde gebruiker.
Een session hijack dus, wat volgens mij nog altijd niet zo eenvoudig als men hier wil doen geloven.

De unieke identifier is al een extra bescherming hiertegen. Weet niet in hoeverre deze dynamisch dan wel statisch is maar in het eerste geval komt deze eigenlijk overeen met een dynamische session.
is natuurlijk niet heel makkelijk maar - de vraag is waarom men er geen IP specefieke sessie van maakt ik bedoel, - je kunt neem in aan vrij makkelik achterhalen WIE jouw die HTTP-request stuurt??? of is het raar dat ik het vreemd vind dat en behalve een sessie sleutel totaal nergens naar wordt gekeken.
IP spoofen is niet moeilijk hoor.
Dat slaat nergens op.
Het is in het geval van HTTP/TCP wel lastig, aangezien je ook de inhoud van de pakketjes die teruggestuurd worden moet weten. (TCP syn/ack).

On topic:
Als je cookies kan stelen of dataverkeer van je target kan afluisteren, is een erg groot gedeelte van de webapplicaties "kwetsbaar". IP controleren zou helpen, maar dit kan ook problemen geven icm proxies van de gebruikers.
omdat dit weer hele andere problemen kan veroorzaken, als je in een bedrijf zit met meerdere gateways bijvoorbeeld. Je wilt dat niet om de 5 minuten opnieuw inloggen.
"makkelijk" als je een stuk spyware op de computer weet te krijgen, of z'n internet verkeer kan onderscheppen. in alle andere gevallen lijkt het me inderdaad totaal niet makkelijk om aan die cookie en session te komen.
Een session hijack dus, wat volgens mij nog altijd niet zo eenvoudig als men hier wil doen geloven.
Dat valt reuze mee. Bij eBay kon je op je persoonlijke pagina javascript injecteren. Vervolgens kon je dan het cookie uitlezen (omdat je op 't zelfde domein zat) en de gebruiker een hidden form laten versturen waarbij de cookie gegevens vrolijk meegestuurd werden.

Aan de andere kant kon je met enkele regels Perl een verbinding openen met eBay en hoppake, je had controle over alle persoonlijke gegevens (Bron: webwereld).
Zo'n cookie kan je toch alleen maar van een computer 'stelen' waar iemand ingelogd is geweest?

Ik denk eerlijk gezegd ook dat session-hijacking geen makkelijke wijze van 'hacken' is. Eerder dacht ik altijd dat men uiterst eenvoudig sessies kon uitlezen uit de browser, om zo de gegevens te manipuleren waardoor men bij andermans zaken kon. Dat blijkt dus absoluut niet zo te zijn. Sessies zijn, vooralsnog, vrij veilig. Het is juist het wegschrijven naar een cookie wat het 'onveilig' maakt.
Een cookie gaat in plain text over het internet. Er zijn zat manieren om een cookie te stelen. Zeker als je doelgericht iemands mailbox wil aanvallen
Een cookie gaat gewoon over dezelfde SSL-verbinding als alle andere data.
Niet als je via HTTPS verbinding maakt met GMail. Dat is een functionaliteit die al jaren beschikbaar is. Dan is het stelen van dat cookie aardig wat lastiger.
Exact dezelfde truc heb ik zo'n anderhalf jaar geleden als een eerder gezien bij een blogger (die dus slachtoffer hiervan was). Hij adviseerde de filters te checken in je Gmal account, om te zien of je aangevallen was of niet.

Wat dit nu actueel of nieuwswaardig maakt gaat me even voorbij.
eeuuhh als het een jaar geleden ook al een probleem was, is het nieuws dat het gmail-team (en dus google) er niets aan heeft gedaan.

Een slechte zaak dus als dir gewoon niet gemaakt is.

[offtopict]Als MS een exploit heeft mag er natuurlijk wel een nieuwsitem van worden gemaakt.[ /offtopic]
Het kan bijvoorbeeld zo zijn dat ze de toenmalige bug opgelost hebben, en dit keer via een andere omweg hetzelfde kunnen bewerkstelligen. Ik zie Ruudjah verder geen bronvermelding geven of zo, dus wat dat betreft is het puur speculatie. Overigens ben ik het ook met hem oneens dat dit bericht geen nieuwswaarde zou bevatten, al is het maar om GMail gebruikers op de hoogte te stellen.
Volgens mij gaat het hier gewoon om session hijacking, google is heus niet de enige die daar last van heeft, lol. Op het moment dat iemand je verkeer kan sniffen ben je sowieso het haasje in de meeste gevallen (voor de windows users: start Cain & Abel eens op je eigen machine en kijk maar eens wat er allemaal te sniffen valt).
Inderdaad dit is 'gewoon' session hijacking.
De eerste van die twee, een sessie-sleutel, kan vrij eenvoudig verkregen worden door een cookie te stelen van een in Gmail ingelogde gebruiker.
Ahem. Hoezo vrij eenvoudig? Verklaar u nader Tweakers.net. Het is zeker niet de bedoeling dat de sessie-id makkelijk te raden of stelen is... Als deze in verkeerde handen valt is de hele account van de gebruiker compromised...
Wie deze beide variabelen in handen heeft, kan een url richting de Gmail-servers versturen met het verzoek een filter in het Gmail-account van het slachtoffer aan te maken. Zonder medeweten van de 'ontvangende partij' kan zo elk willekeurig filter worden aangemaakt,
Ja. En wie het sessie-id in handen heeft kan ook, zonder medeweten van de gebruiker:
* Alle mail lezen
* Alle contactpersonen uitlezen
* mail namens de gebruiker sturen
* Alle mail van de gebruiker verwijderen
* Het wachtwoord aanpassen
* De hele account opheffen...

Waarom is het dan van belang dat men een filter kan installeren? Waarschijnlijk omdat men dat weer kan gebruiken om mail te relayen via GMail... maar ja aangezien tweakers.net niet de moeite neemt de inhoud van het nieuwtje correct weer te geven zullenw e het nooit weten....
GMail wordt best veel gebruikt en lang niet iedereen zal op de hoogte zijn van een dergelijk lek. Dat maakt het dus wel degelijk nuttig. Daarbij zijn de proof-of-concepts vandaag gepubliceerd, dus heb je niet alleen het woord van een enkele blogger, maar meteen praktijkgevallen. Maareh, als je het een jaar of anderhalf terug al las, waarom submit je iets dergelijks dan niet?
Ach onzin. Als je sessie-id in verkeerde handen valt is je hele account compromised. Je kan net zo goed je wachtwoord afgeven. Dit 'lek' werkt alleen als ze je sessie-id hebben. Daar is gelukkig nog niet zo gemakkelijk aan te komen.

Het sessie-id is de 'last line of defense' in een web applicatie. Als die compromised is is *alles* compromised. Verder gewoon een niftig truucje om mail van iemand te onderscheppen *nadat* je al de god-key in handen hebt.
Je kan je Gmail standaard via HTTPS laten versturen... dat zou toch afdoende moeten zijn lijkt me?
Dit is gewoon FUD (Fear, uncertainty and doubt).

In ander nieuws:
Tweakers.net exploit laat aanvallers mogelijk accounts overnemen. Als een aanvaller het sessie-id heeft gestolen (triviaal) kan hij eenvoudig het wachtwoord van het slachtoffer wijzigen.

Eventuele kleine verbetering die er is, om met elke request een nieuw sessie-id te nemen. Via session_regenerate_id voor de PHP'ers. ( http://nl2.php.net/manual...session-regenerate-id.php ). Dat maakt het op zijn minst verrekte irritant voor een hacker, en degene die aangevallen word zal het hoogstwaarschijnlijk direct merken (doordat de aanvaller bij zijn request meteen de sessie-sleutel wijzigt, en de ID die het "slachtoffer" heeft dus ongeldig zal zijn).
Dus eerst moet je al een cookie (sessie-ID) van het slachtoffer stelen, daarna moet je nog verkeer afluisteren om een gebruikers-sleutel te hebben. En dan pas kun je filters gaan instellen.

Lijkt me dat er wel nog meerdere services hiervoor zouden kwetsbaar zijn.
'tjah het is officieel nog altid maar een beta.
'k vraag me eigenlijk af wanneer het ooit uit de beta stage zal komen
Zolang er kritiek is op mogelijke schending van de privacy zal dat niet zomaar gebeuren.
Welke schending van privacy? Zover ik weet, schend Google niet jouw privacy door jouw een beetje reclame/nieuws voor te schotelen. En dit doet ze alleen door wat woorden uit jouw mails te scannen en daar een automatische reclame van te maken. Die trouwens alleen bij het lezen van berichten zichtbaar is.
Als je trouwens hun beleid wil nalezen: klik hier

Als je dit bijvoorbeeld vergelijkt met hotmail, dan krijg je al meteen reclame in je welkom scherm en geen kleintjes, boven aan een dikke banner, rechts een lekkere grote banner. En dan plakken ze ook nog eens reclame achter je onderwerp, lekker professioneel. Maar ook microsoft gebruikt jouw cookies om informatie te verzamelen om jouw betere "ondersteuning" te geven . Als je hun verklaring wil lezen: klik hier
Het lezen van de e-mail wordt gezien als privacyschending, niet het weergeven van ads!
Als je bedenkt dat hier in Nederland e-mail onder het briefgeheim valt is Google schuldig aan het plegen van een misdrijf.

@hieronder: scannen is ook de inhoud van de mail lezen. Het is niet echt van interesse of dit lezen door een computer of een mens gebeurt. Het idee van het briefgeheim schendt je hiermee en daarmee dus ook de wet. De wet bestaat namelijk niet alleen uit domweg regels, het gaat ook om het idee achter die regels (volgens de letter der wet en in regel der wet: zoals het er exact staat, zoals het bedoeld is). Of een mens of een computer de inhoud leest, scant of hoe je het noemen wilt houdt nog steeds in dat jouw informatie wordt doorgenomen en dat een ander daarmee aan de haal kan gaan (hetzij omdat iemand het leest of omdat iemand de machines die de boel scannen hackt).

[Reactie gewijzigd door ppl op 24 november 2008 19:18]

En dat zou opeens niet meer zo zijn wanneer ze het een beta-product noemen? Dat maakt voor onze wet echt geen verschil.
Er wordt geen mail gelezen, er wordt mail gescanned op woorden waar ads aan gekoppeld worden. Het spamfilter werkt ook zo, maar daar hoor je nooit iets over omdat bijna elke provider een spamfilter heeft.
Het spamfilter werkt niet zo. Spamfilters kijken naar andere specifieke zaken. Meestal zijn spamfilters al van het niveau dat er aan de poort de nodige dingen worden geweigerd en dat wat door komt wordt nog gescanned op bepaalde headers, of er attachments aan vast zitten, of er html gebruikt wordt, etc. De eigenlijke inhoud laten ze meestal ongemoeid. Bij Google hebben ze juist die inhoud nodig om te bepalen welke ads ze moeten weergeven. Net als bij een virusscanner wordt er alleen naar bepaalde eigenschappen van een mail gezocht en niet naar inhoud. Imho is dat een wezenlijk groot verschil.
Spamfilters kijken naar andere specifieke zaken. Meestal zijn spamfilters al van het niveau dat er aan de poort de nodige dingen worden geweigerd en dat wat door komt wordt nog gescanned op bepaalde headers, of er attachments aan vast zitten, of er html gebruikt wordt, etc.
Dit gebeurt inderdaad vaak. Met name afzender adressen worden uit de headers gehaald (vb DNSBL, DomainKeys, SPF etc.).

Echter is dat slechts de eerste schifting. Daarna zal je mail doorgaans door een Bayesian filter gaan, waarvan SpamAssassin waarschijnlijk de bekendste is. Deze filters interpreteren wel degelijk de content echter kun je deze filtering system ook vaak weer uitzetten (en de google ads niet).
Er wordt geen mail gelezen
Dat ligt aan je definitie van "personal information"
We restrict access to personal information to Google employees, contractors and agents who need to know that information in order to operate, develop or improve our services
Jaja, dus als ik jouw post open en alleen scan voor woorden om vervolgens bij je aan te bellen met wat interessante aanbiedingen. Heb je daar geen problemen mee?

[Reactie gewijzigd door alienfruit op 24 november 2008 14:55]

@alienfruit: Daar heb ik wel problemen mee, want dan wordt het handmatig gedaan door een menselijk persoon; iemand met emoties en iemand die begrip heeft van context en echt begrijpt wat hij leest. Misschien leest die wel even door als je in een email schrijft over je avonturen met de buurvrouw. Dat maakt het een stuk persoonlijker en een stuk minder anoniem dan een robot.
tjah het moet ergens van betaald worden
je betaald dus voor Gmail door die ads
Nee, want dan ben jij aan het lezen. Als je de post in een machine stopt, die er kernwoorden uit haalt, en ze niet naar context interpreteert, dan ben je aan het scannen.

Niettegenstaande dat ik wel vind dat je gelijk hebt, hoor :)

[Reactie gewijzigd door RaZzz op 24 november 2008 16:55]

Dat vraag ik me ook wel eens af. Maar ook als het geen beta is worden er wel eens fouten in software gevonden... en dan druk ik me nog voorzichtig uit... O-)
Software == bugs.

@blokker_1999 wat is dat toch steeds met de relatie 'privacy - beta( - rechtszaak)'. Het heeft imho niets met elkaar van doen. Privacy schenden is nooit goed en wordt niet beter/slechter door je software een labeltje als 'beta' te geven. Ook ontslaat het je van geen enkele juridische aansprakelijkheid zoiets te doen.
Los je dit probleem niet op door in Gmail aan te geven dat je altijd alleen verbinding wilt over SSL? Dan is de gegevens uitwisseling ook versleuteld en kan de verbinding tussen client en de Gmail server niet zomaar bekeken worden.
Ik ken de precieze details niet van deze exploit, maar als deze net zo werkt als de ebay hack, dan heeft inloggen met SSL weinig nut.
Kan je door het afluisteren van een verbinding niet sowieso al achter iemands inloggegevens komen? Oftewel, een man-in-the-middle attack ....
mitm doe je door traffic te relayen. En dan gaan de ssl certificaten klagen (als je tenminste ontsleuteld en versleuteld als mitm attacker).

Dus het kan ja, maar dan moet het het 'geluk' hebben dat iemand maar klakkeloos op 'trust' drukt.
dat doen dus de meeste mensen :) en gmail is niet in ssl, alleen als de gebruiker dat instelt.
Nou ik vind dit maar een mager nieuwsbericht. Dat er verschillende XSS exploits in gmail te vinden zijn die nog niet opgelost zijn weet ik, dit zou alleen al kunnen leiden tot voldoende verontrustende situaties waarvoor die ID niet eens bekend hoeft te zijn..
De kwetsbaarheid maakt gebruik van het feit dat Gmail gegevens met de servers van Google uitwisselt wanneer een filter in de webmail wordt aangemaakt.
Dan is de tijdelijk oplossing op de kwetsbaarheid ook éénvoudig:
Gewoon geen filters toepassen! (aanmaken) ;)
Maar vreemde filters of gewijzigde filters zijn verdacht
tenminste ik neem aan dat die niet verborgen kunnen worden......

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True