Artykuły dotyczące tematu: Gmail

dodany: 28.02.2013 | tagi: , , ,

Moda na obchodzenie zabezpieczeń trwa – tym razem Gmail

4

O ile do luk Apple już można było się przyzwyczaić, tak wpadka w Gmailu jest dość niemiła ze względu na większe niebezpieczeństwo. Okazuje się, że można przeskoczyć uznawane dotąd za superbezpieczne dwuetapowe uwierzytelnianie do usług Google. Jeśli atakujący obejdzie zabezpieczenia może oczywiście przejąć zupełnie kontrolę nad kontem ofiary poprzez zmianę głównego hasła!

Gdzie tkwi problem?

Ułomność leży w restrykcjach nadanych przez Google do weryfikacji dwuetapowej. Konkretnie chodzi tu o możliwość stworzenia unikalnego hasła do aplikacji (z ang. Application-Specific Password, w skrócie ASP), które możemy stworzyć na stronie autoryzacji aplikacji i witryn.

Widzimy tam ostrzeżenie:

autoryzowany dostęp do kont google

Nas interesuje pierwszy punkt:

Niektóre aplikacje działające poza przeglądarką nie są jeszcze zgodne z weryfikacją dwuetapową i nie można w nich podać kodu weryfikacyjnego, na przykład: Aplikacje na smartfonach, takich jak np. BlackBerry, iPhone, urządzenia z Androidem itd. gdyż to właśnie odkryli badacze z Duo Security – zauważyli oni, że nawet w przypadku najnowszej przeglądarki Chrome zintegrowanej z ostatnim wydaniem Androida w mechanizmie autologowania istnieje luka. Pozwala ona na dostęp do każdej strony Google, bez podawania loginu i hasła.

Po włączeniu dwuetapowej weryfikacji, Google z naszą pomocą tworzy indywidualne hasło do każdej aplikacji, której używamy, a która nie obsługuje dwuetapowego uwierzytelniania. Może to być nasz klient poczty wykorzystujący IMAP i  SMTP (np. popularny Thunderbird), czy programy czatowe korzystające z protokołu XMPP (np. Pidgin) albo synchronizacja kalendarza wykorzystującego CalDAV (np. iCal).

Po wszystkim otrzymujemy zestaw kilku różnych haseł ASP –  niestety tylko teoretycznie, gdyż za  pomocą pojedynczego rzekomo indywidualnego kodu jesteśmy w stanie uzyskać dostęp do większości aplikacji!

 

Znów winna jest opcja przywracania hasła

Teraz powracamy do Androida – Google w swojej przeglądarce dołączyło mechanizm autologowania do swoich usług.  Jeśli podłączyliśmy nasze urządzenie do konta Google, to dostęp z niego do usług Google pomija uwierzytelnienie.

Jeśli te warunki są spełnione, to możemy wykorzystać Opcje odzyskiwania konta, do której Google dopuszczało bez konieczności uwierzytelniania! Dzięki temu można było dodać czy też zmienić nr telefonu i e-mail, na który są wysyłane w razie potrzeby linki do resetu konta.

 

Od środka problemu

Jak zauważył inny badacz Nikolay Elenkov, hasło ASP teoretycznie jest zaszyfrowane 1024-bitowym algorytmem RSA. Jak się okazało wspomniane hasło stworzone za pomocą funkcji EncryptedPasswd jest faktycznie 130-bajtowym ciągiem, zakodowanym funkcją base64. Ten fakt wykorzystali pracownicy Duo Security, którzy za pomocą spreparowanego proksy podmienili parametr EncryptedPasswd na niezaszyfrowany (unencrypted) Passwd w  ClientLogin API, który ustawia nasze ASP:

Dzięki temu pracownicy uzyskali prawidłowy token do strony android.clients.google.com, który pozwolił na pełny dostęp do usług Google.

 

Co Google zrobiło w tej sprawie?

Problemy z ASP nie są świeże, gdyż Duo Security zauważyło je już w lipcu ubiegłego roku! Google co prawda stwierdziło istnienie problemu, ale uznało go za „spodziewane zachowanie”!

Na szczęście 21 lutego Google postanowiło, poprzez nacisk Duo Security, chronić istotne ustawienia konta za pomocą każdorazowego uwierzytelniania. Podczas ustawienia hasła ASP widzimy także ostrzeżenie, iż  uprawnia ono dostęp do naszego konta Google. Do tej pory można było zastosować powyższą sztuczkę przejęcia czyjegoś konta.

Niestety nadal niebezpieczeństwo korzystania z usług Google jest dość spore – wystarczy, że atakujący spreparuje malware wykradając hasło z komunikatora Pidgin, który trzyma je lokalnie w niezaszyfrowanej postawi w pliku XML.

dodany: 22.02.2013 | tagi: , , , ,

Google twierdzi, że wygrywa wojnę z porywaczami kont i spamem

13

Jeśli posiadacie konto dłużej niż od roku na pewno zdołaliście zauważyć, że w 2011 Gmail zaczął mieć spory problem zaczynając od spamu i e-maili rzekomo wysłanych przez znajomych, a które w rzeczywistości napakowane były złośliwym oprogramowaniem, na przejmowaniu kont kończąc.

Google postanowiło wziąć się do roboty i nie odpuścić wrednemu malware’owi, który zaczął skutecznie omijać filtry antyspamowe w Gmailu. Wysiłek się opłacił – tak przynajmniej podaje Google Security Engineer Mike Hearn w raporcie na blogu Google Security Online. Hearn podaje, że firmie udało się zmniejszyć liczbę zaatakowanych kont prawie do zera – od szczytu przejmowania kont w 2011 zeszli do poziomu 0,3%.

email-graph-google

Wykres pokazuje jak zmieniała się liczba prawdziwych kont, które wysyłały spam.  Źródło: Google

Jedną z części składowych obecnej polityki bezpieczeństwa jest wykonywanie złożonych analiz ryzyka w celu ustalenia, czy logowanie do konta może być podejrzane lub niebezpieczne – na przykład, czy pochodzi z kraju, który znajduje się na drugim końcu świata.

Jeśli tak, to zanim użytkownik się zaloguje, musi odpowiedzieć na kilka prostych pytań dotyczących konta, takich jak : podać skojarzony z tym kontem numer telefonu czy odpowiedzieć na pytanie zabezpieczające.

google-verify

Strona logowania weryfikuje czy jesteś na pewno właścicielem konta, do którego chcesz się zalogować.

Źródło: Google

Jednak dla zachowania poprawnego bezpieczeństwa naszego konta ważne jest, aby hasło, jakim się posługujemy było na tyle unikatowe, że nikt go nie rozgryzie. Ważne jest także włączenie dwuetapowej weryfikacji konta pocztowego. Jeśli Gmail wprowadził taką usługę, to należy z niej korzystać. Ważne jest także aktualizowanie zapasowego adresu e-mail, który służy do odzyskiwania konta i numeru telefonu użytego przy weryfikacji.

dodany: 24.09.2012 | tagi: , ,

Iran blokuje Gmaila

0

Iran zablokował w całym kraju dostęp do usługi Gmail. Oprócz tego został ograniczony dostęp do samej wyszukiwarki Google – działa wyłącznie wersja niezabezpieczona. W przypadku korzystania z protokołu HTTPS jest ona zwyczajnie zablokowana.

Dostęp nie jest możliwy nawet przez użycie sieci VPN – takie informacje podało kilku mieszkańców Teheranu, którzy do tej pory korzystali z tego w przypadku obchodzenia cenzury. Blokada na Gmaila jest o tyle uciążliwa, gdyż korzysta/-ło z niego wielu irańskich biznesmenów, którzy używali także serwisu do wymiany dokumentów z zagranicznymi kontrahentami. Ogólnie ekonomia Iranu mocno ucierpiała poprzez sankcje zachodu, które znacznie ograniczyły eksport ropy.

Warto przypomnieć, iż nie jest to pierwsza tego typu blokada w Iranie – wcześniej tamtejsze władze zablokowały dostęp go Google’a i Gmaila w lutym tego roku. Nadal też jest mocno ocenzurowana wersja serwisu YouTube, która trwa już od połowy 2009 roku. Często też blokowane są serwisy społecznościowe – Facebook oraz Twitter. Jak deklarują władze Iranu, chcą stworzyć swój intranet, który będzie wyczyszczony z niezgodnej z ich religią zawartości…

dodany: 09.08.2012 | tagi: , , ,

Aktualizacja wyszukiwarki Google przynosi nowe pułapki prywatności

0

Google wprowadził szereg nowych funkcji do platformy wyszukiwania, które mogą pomóc w uproszczeniu wyszukiwania informacji przez użytkowników. Niestety, grozi to też zrewolucjonizowaniem sposobu, w jaki użytkownicy mogą stracić swoje prywatne dane, które mogą stać się publiczne.

Spółka w środę zaprezentowała aktualizację produktu, która połączy użytkownika konta Gmail i wiadomości przechowywanych w skrzynce odbiorczej z platformą wyszukiwania. W rezultacie wyszukiwanie e-maili jest włączone do zapytań internetowych i dane z wiadomości pojawiają się obok wyników wyszukiwania w Internecie.

Konsekwencje tego mogą być ogromne dla użytkowników. Nagle można przeszukiwać swoją skrzynkę odbiorczą bez konieczności przełączania usług z wyszukiwarki na Gmail. Oszczędność czasu może zdecydowanie wzrosnąć.

Jak Google wskazał w oświadczeniu o nowej funkcjonalności, często informacja, jakiej szukamy, jest łatwiejsza do znalezienia w skrzynce odbiorczej niż w Internecie. Możliwość obsługi obu usług jednocześnie uczyni życie łatwiejszym.

Niestety, może to uczynić je bardziej niebezpiecznymi. Niektóre z najbardziej przydatnych funkcji tej aktualizacji mogą prowadzić do największych zagrożeń dla utraty danych. Zarówno nowa funkcjonalność i niezamierzone luki mogą wiązać się z ryzykiem ujawnienia danych użytkowników.

Na początek: proste ryzyko błędu użytkownika. Każdego dnia tysiące ludzi traci swoje dane osobiste poprzez głupotę lub niedbalstwo. Będzie to tylko wzmocnione przez połączenie funkcji wyszukiwania. Nagle każdy użytkownik Google, który pracuje na publicznym lub współdzielonym komputerze może stać się potencjalną ofiarą szpiegostwa e-maili.

Hipotetycznie, użytkownik może nie wylogować się ze swojego konta i odejść od komputera pozwalając innej osobie z niego korzystać. Dzięki temu ta osoba może otwierając wyszukiwarkę Google wyciągnąć potencjalnie poufne informacje naszego hipotetycznego użytkownika. Nawet jeśli użytkownik udostępni komuś komputer i ta osoba nie będzie chciała mu zaszkodzić, to może przypadkowo wyszukać dane, które były poufne.

Problem ludzi, którzy nie wylogowują się z publicznych komputerów jest tak stary, jak sam webmail. Ale z funkcji połączenia sieci i poczty e-mail problem może się jeszcze bardziej rozprzestrzenić.

Nie mówimy, że to coś kompletnie niepotrzebnego i ryzykownego, ale radzimy przyglądać się tej funkcjonalności bardzo uważnie.