Y! Insider de la Messenger reprezinta un pericol
8
Loki, un membru activ al forumului de securitate si hacking RST din Romania a descoperit ca Y! Insider de la Y! Messenger este extrem de periculos, fiind vulnerabil la atacuri de tip CSRF!
Pentru cei nefamiliari cu Y! Insider, aceasta fereastra se declanseaza de fiecare data cand ne autentificam la contul nostru de Y! Messenger. Stiu, enervant, dar conform analizei lui loki, aceasta fereastra are la dispozitie mai multe informatii decat ne-am putea noi imagina, informatii ce sunt returnate in format XML.
Pentru a acesa diverse informatii confidentiale, Yahoo se foloseste de urmatoarea adresa, la sfarsitul careia sunt completati diversi parametri pentru a returna diverse informatii. Lista parametrilor partiala o gasiti publicata de aceasi persoana ce a facut descoperirile.
http://insider.msg.yahoo.com/ycontent/?parametri
Din lista respectiva ne atrag atentia, doua seturi de parametri : accesarea adressbook-ului si accesarea webcamului fara aprobare.Accesarea adressbook-ului inseamna posibilitatea de a adauga si probabil a sterge ( neconfirmat ) adrese de e-mail in casuta de contacte, alaturi de posibilitatea de vizualizare a acestora.Cea mai importanta descoperire este faptul ca vom putea sa modificam setarile webcamului, oferind posibilitatea de a permite tuturor ( sau a unui numar redus ) persoanelor sa vada webcam-ul fara confirmare.
Cea mai importanta informatie din acest articol este ca toate operatiile ce se bazeaza pe diverse cereri ale Y! Insider se pot executa printr-o tehnica cunoscuta in domeniu ca si CSRF (Cross-site request forgery). Aceasta tehnica va putea accesa informatiile, trimitand un e-mail cu o imagine „falsa” tintei noastre, iar in momentul vizualizarii lantul de probleme ar incepe.
Cum ne protejam?
Intrebarea ce ne vine in minte in acest moment este „Ce putem face pentru a nu cadea prada acestei probleme?”.Pana cand Yahoo va afla de aceste probleme nu putem decat sa blocam incarcarea imaginilor si verificarea destinatarului cu mare atentie.
Cum?
1.Accesati contul de e-mail
2.Selectati E-mail Options din partea dreapta sus, doar daca aveti ultima versiune de Y! Mail
3. Spam -> Block images -> Initially block all images trebuie sa fie bifat!
Eu am dat sa nu imi mai afiseze YM Insider cand intru pe YM.
NU rezolvi cu nimic asta. Articolul vrea sa sugereze ca a pornit de la Y! Insider. Pericolul adevarat sta in spatele E-mailului si al imaginilor, ce pot apela aceleasi functii ale Insiderului, creand practic impresia ca el face cererile. 🙂
Interesant, felicitari pentru articol.
Singura solutie este sa nu pornesti webcam-ul. Degeaba dai disable la imagini in mail daca eu iti trimit un link catre un profil real de hi5 (spre exemplu), in care se afla csrf-ul.
Da, ai dreptate. Pentru asta respectivul trebuie sa fie logat pe e-mail. Asta inseamna ca rata de succes in alternative este ceva mai mica, depinzand in primul rand de cunostintele respectivului si masurile de precautie generale ce si le-a luat. Pentru a avea un rezultat maxim problema se reduce la un e-mail catre respectivul „personaj” iar aici sunt sanse ceva mult mai mari deoarece multi nu au setarile facute prea bine. 🙂
Oricum, e bine ca ai adus in vedere si celalalt aspect.
Da. Din pacate pentru potentialele victime idiotii astia nu au pastrat cel mai util lucru care era default in IE6 si anume o pagina noua = sesiune noua. Cine s-a logat in browserele de ultima generatie ramane logat pana da sign out, ii expira cookie sau isi sterge cookies, chiar daca in prealabil a inchis browserul fara a incheia sesiunea.
Stii bine ca functia respectiva este utila in anumite situatii, insa , asa cum ai precizat este in acelasi timp si cel mai mare pericol inventat. Daca nu ar fi existat aceste probleme, nu ar mai avea treaba unii oameni pana la urma ….
merci pentru informatie