Onderzoeker waarschuwt voor Gmail-hack
Activeer nieuwe veiligheidsinstelling
11 augustus 2008 | Janneke Scheepers
Gebruikers van Gmail doen er verstandig aan om direct de nieuwe optie ‘Altijd Https gebruiken’ bij de instellingen van de webdienst aan te vinken. Het intypen van de url https://mail.google.com volstaat namelijk niet als bescherming tegen sidejacking, zo demonstreerde onderzoeker Mike Perry zaterdag op de hackersconferentie Defcon in Las Vegas. Securityblogger Brian Krebs doet er verslag van.
Versleutelde sessie
Perry demonstreerde een tool waarmee aanvallers in uw inbox kunnen inbreken, zelfs als u Gmail benadert in een versleutelde sessie met gebruik van https:// in plaats van http://. Als u inlogt bij Gmail, zullen de servers van Google een zogenaamde ‘sessie cookie’ of ‘GX-cookie’ op uw machine zetten. Met deze cookie kunt u tot twee weken ingelogd blijven, mits u niet handmatig uitlogt. Na die periode verstrijkt de cookie en moet u opnieuw inloggen.
Geen onderscheid
Het probleem is dat de cookies van Gmail er geen rekening mee houden of u nu wel of niet bent ingelogd via een beveiligde verbinding; ze worden hoe dan ook verstuurd. Een aanvaller die het verkeer op uw netwerk bespioneert, kan hier misbruik van maken.
Zodra u na het inloggen een andere webpagina oproept, kan hij kleine afbeeldingen of andere content van mail.google.com injecteren in die pagina. Na het laden van deze geinjecteerde elementen zal uw browser de GX-cookie met inloggegevens tonen. De aanvaller die het verkeer op uw netwerk afluistert, hoeft dan de cookie alleen nog op zijn machine te laden, om in uw inbox te komen.
Automatische aanval
Er zijn verschillende gratis tooltjes om internetverkeer over een netwerk te bespioneren en willekeurige beelden, links en andere data te injecteren in webverkeer verstuurd over dat netwerk. Perry heeft zelfs een tool ontworpen die deze diefstal van cookies van Gmail automatisch uitvoert.
De truc werkt ook bij "een heleboel andere sites" die net als Gmail bij het verzenden van cookies geen rekening houden met het type verbinding, waaronder grote namen als Facebook en Amazon.
Related Partner info »
Lees verder op ZDNet »
Gmail krijgt kleurtjes
Gmail trekt nieuwe sms-functie weer in
Ingeblikte antwoorden sturen met Gmail
Google helpt e-mailers die zichzelf niet vertrouwen
Storing sluit Gmail-gebruikers urenlang buiten
Inlogcodes Gmail in gevaar door lek
Back-upprogramma voor Gmail gapt wachtwoorden
Gmail kraakbaar op openbare hotspots
Nog meer op ZDNet »
vSphere licenties onder de loep
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
» Boot Windows 8 te snel?
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
» Antwerpse jeugd kan begeleid gamen
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
» Super tip: het internet als e-book
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
