Säkerhetsforskaren Vicente Aguilera Diaz upptäckte den 30 juli 2007 en sårbarhet i den Gmail-funktion som låter användare ändra lösenord. Sårbarheten öppnar för angrepp via metoden cross-site-request-forgery och möjliggör för angripare att både kontrollera och ändra de lösenord som är kopplade till Gmail-konton.

I början på augusti 2007 informerade också Isecauditor sökmotorjätten om den sårbarhet som Diaz upptäckt. Företaget svarade med att be om ytterligare information. Därefter följde enligt uppgift en utdragen brevväxling där Google ett halvår senare slutligen svarar att man inte anser att sårbarhetens natur föranleder någon omedelbar åtgärd.

Ytterligare ett år senare begär Isecauditor en statusuppdatering från Google, som bekräftar att någon åtgärd fortfarande inte kommer att vidtas.

Den 3 mars detta år har Isecauditor därför publicerat en så kallad proof-of-concept, en detaljerad beskrivning av sårbarheten, tillsammans med den kod som visar hur attacken kan genomföras.

Lyckas angreppet är det möjligt för en angripare att antingen passivt ta reda på offrets lösenord eller aktivt ändra det till ett eget godtyckligt val.

Google har bemött publiceringen och uppger till sajten Techhearld att man i dagsläget inte känner till att angreppsmetoden skulle ha utnyttjats. Dessutom kräver metoden att ett offer besöker angriparens sajt och att angriparen samtidigt lyckas lista ut lösenordet under den tid besöket varar, något Google bedömer som osannolikt.

Länk till Gmail proof-of-concept

Källa: Seclists.org

LÄS MER: