18 апреля 2010 г.

В GMail проковыряли дырочку

Большое количество почтовых ящиков GMail взломано и по адресным книжкам их владельцев разосланы спаммерские письма со ссылками на различные домены в зоне .co.cc. Никаких признаков того, что проблема связана с клиентской стороной – владельцы ящиков используют различные операционные системы, браузеры, антивирусы и .т .д. Т.е. это не дыра в Opera, не уязвимость операционки и не “левый” плагин к браузеру.

Судя по всему злоумышленники воспользовались “мобильным” интерфейсом GMail, поэтому наиболее правдоподобно предположение о том, что уязвимость связана с изменениями “мобильного” интерфейса для iPhone/iPad.

Сообщений о скомпрометированных ящиках у Google Apps for Domains пока, вроде, нет. Так что атаке, судя по всему, подверглись лишь аккаунты самого GMail.

Еще я могу предположить, что уязвимость может быть связана с недавно введенной поддержкой drag’n’drop – в интерфейсе GMail используется flash-загрузчик для вложений в письма, а flash известен своими многочисленными уязвимостями.

Кстати, а кто пользовался мобильным интерфейсом – там CAPTCHA бывает в случае неправильных попыток ввода пароля или можно брутфорсить до умопомрачения? Большому ботнету под силу и достаточно сложные пароли…

Проверьте свои ящики. Первым делом посмотрите в папки “Отправленное” и “Удаленное” – нет ли там каких-либо писем, отправленных злоумышленниками от имени владельца ящика.

Проверьте настройки. Плохие парни могли добавить какую-нибудь гадкую ссылку в подпись (Настройки->Общие->Подпись) или включить функцию “Автоответчик” (Настройки->Общие->Подпись).

gmail-log Внизу экрана Web-интерфейса GMail есть строчка: “Последние действия с аккаунтом: … с IP адреса …“ и рядом ссылка “Дополнительная информация”. Нажмите на нее и откроется окно с информацией о последних обращениях к ящику. Обратите особое внимание на сеансы доступа к мобильному интерфейсу – на скриншоте подчеркнута строка с сеансом злоумышленника. Настоящий владелец находится в Латвии, а гадский спаммер залез из США. Страны у спамеров разные – Бразилия, Великобритания, Чехия, Словакия. Важно, что это явно не владелец ящика.

Если неприятность произошла и обнаружились следы непрошеных визитеров, первым делом смените пароль. Он – ключ не только к ящику, но и к куче других сервисов Google, которыми может воспользоваться ворюга от имени владельца ящика. Даже если владелец сам этими сервисами не пользуется. Кроме пароля нужно немедленно проверить настройки восстановления пароля – секретный вопрос (его лучше сменить), номер телефона для отсылки SMS и другие.

Также следует проверить переадресацию почты. Злоумышленник может настроить отправку всех или избранных писем, или их копий, приходящих на этот почтовый адрес, в другой ящик. Тогда у него появится возможность “восстанавливать” пароли на других сайтах, где при регистрации указывался адрес взломанного почтового ящика. Чтобы убедиться, что письма никуда не пересылаются надо проверить две настройки. “Фильтры” (Настройки->Фильтры) позволяют отбирать письма по определенному признаку и производить с ними какие-то действия: перекладывать в папки, удалять, пересылать. Надо убедиться, что не добавилось никаких непонятных фильтров. И раздел “Пересылка” (Настройки->Пересылка и POP/IMAP). Тут необходимо убедиться, что пересылки или отключена, или указан верный адрес. Если для доступа к ящику используется только Web-интерфейс, на этой же странице можно отключить возможность доступа по протоколам POP и IMAP.

Ссылки по теме: