Veszélyben voltak a Yahoo-s postafiókok

A Yahoo! Mail webes levelezőszolgáltatáson egy súlyos biztonsági rés tátongott. A sebezhetőség révén egy támadó átvehette a hatalmat az áldozatául eső postafiók felett.
 

A Yahoo! 2013 óta erőteljesen támogatja azon biztonsági kezdeményezését, amelynek keretében jutalmazza a sérülékenységeket első kézből bejelentő kutatókat. A cég tavaly közölt adatai szerint e programban résztvevők eddig több mint egymillió dollárral lettek gazdagabbak, de ami ennél fontosabb, hogy a Yahoo! webes szolgáltatásai és különféle alkalmazásai jóval biztonságosabbak lettek. 

Az elmúlt napokban a vállalat jelezte, hogy egy rekordközeli jutalmat osztott ki egy súlyos sérülékenység felfedezéséért. A finn Jouko Pynnönen biztonsági kutató markát ugyanis nem kevesebb mint 10 ezer dollár ütötte, amiért a Yahoo! Mail kapcsán feltárt egy sebezhetőséget, és azt a szabályoknak megfelelően jelezte a fejlesztők számára. 

Egyszerű, de veszélyes hiányosság

Pynnönen elmondta, hogy egy XSS (cross-site scripting) típusú sérülékenységre lett figyelmes, amely viszonylag egyszerűen kihasználható, és meglehetősen komoly fegyvert ad a támadók kezébe. Ahhoz, hogy a hiba problémát okozzon, alapvetően csak egy speciálisan összeállított e-mailre van szükség, amit a támadónak el kell küldenie a kiszemelt felhasználó Yahoo-s címére. Amikor ezt a címzett a webes Mail szolgáltatás segítségével megnyitja, akkor a levélben elhelyezett kód azonnal lefut. Ezt követően az elkövető számos módon veszélyeztetheti a felhasználó levelezését. Így például beállításokat manipulálhat, vagy a háttérben továbbíthatja a beérkező leveleket saját magának. Sőt az az eset is elképzelhető, hogy egy vírusterjesztő egy kompromittált postafiókon keresztül kezd el küldözgetni fertőzött - vírusos csatolmánnyal ellátott - elektronikus leveleket. 

A kutató szerint a biztonsági rést az okozta, hogy a Yahoo! rendszere nem minden esetben ellenőrizte és szűrte kellő alapossággal az üzeneteket. Ennek következtében a szűrő nem távolított el minden olyan karaktert, ami biztonsági szempontból indokolt lett volna. Ezért fordulhatott elő az, hogy az alábbi képen szereplő kis - amúgy jelen esetben ártalmatlan - JavaScript kód felhasználói közreműködés nélkül le tudott futni egy e-mail megtekintésekor.
A Yahoo! december 26-án értesült a sérülékenységről, és január 6-án szüntette meg azt. Vagyis a szóban forgó biztonsági hiba már nem jelent veszélyt. A vállalat hangsúlyozta, hogy a Yahoo! Mailhez kapcsolódó mobil alkalmazás nem tartalmazta a sebezhetőséget. Mindezt nem véletlenül emelte ki a vállalat, hiszen tavaly decemberben a mobil alkalmazása kapcsán kerültek napvilágra olyan rendellenességek, amik szintén tetszőleges kódokkal történő visszaélésekre adhattak lehetőséget.