Seznam umožňoval únos sezení KE STAŽENÍ

Email Seznam trpěl závažnou bezpečnostní chybou. Skrz krádež cookies se dalo unést uživatelské sezení a získat tak přístup do mailu oběti. Vše odhalil Marek Tóth, který se věnuje odhalování zranitelností informačních systémů profesionálně coby penetrační tester firmy Avast.

 

Marek Tóth, etický hacker a penetrační tester Avastu, si zranitelnosti všiml při analýze komunikace mezi webovými aplikacemi provozovanými Seznamem. Její zákeřnost spočívala v jednoduchosti útočného vektoru: 

„ke krádeži cookies stačilo pouze to, aby byla oběť přihlášena k e-mailu na Seznam.cz a otevřela libovolnou stránku, ve které byl útočníkův kód. Žádná další interakce od uživatele nebyla nutná.“

Tóth rovnou varuje uživatele domněle vyspělé, že nemusí jít vždy o klikání na URL typu https://klikni-a-vyhraj.cz: Útočník bude úspěšnější, pokud využije pokročilejších metod sociálního inženýrství nebo využije nějaké zranitelnosti na nejvíce navštěvovaných stránkách.

Ale k chybě samé. Při přechodu mezi službami Seznamu se přenášela přihlašovací cookies. V řetězci jejich validace ovšem byly díry, které vedly k tomu, že stejnou cestou ukrást přihlašovací cookies uživatele, a tak se dostat do seance jeho přihlášení k emailu. Tóth zjištěnou díru využil v rámci etického hackerství k napsání k útočnému exploitu. Útok probíhal následovně: 

„Uživateli byla zobrazena stránka „Not Found“ se skrytým iframem, který načítal stránku na Swebu. Stačilo tedy, aby byla oběť přihlášená k e-mailu a otevřela odkaz, kde se načítal útočníkův kód (iframe na Sweb). Ihned po navštívení takovéto stránky došlo ke krádeži cookies. “

Další možné způsoby útoku

Použitý exploit byl vysoce sofistikovaný. Tóth přiznává, že stejnou zranitelnost by šlo zneužít i jinými a snazšími cestami:

• zneužití zranitelnosti na jiném webu - Útočník by využil zranitelnosti na jiné, často navštěvované webové stránce (známý e-shop, zpravodajský web a jiné). Například zneužitím zranitelnosti Stored XSS by dosáhl toho, že by oběť nemusela provést žádnou interakci. Pouhým prohlížení takového webu by mohlo dojít na pozadí k útoku, tedy ke krádeži cookies na Seznamu.
• odkaz v emailu - Útočník mohl napsat zprávu, která by obsahovala odkaz na stránku se škodlivým kódem. V tomto případě by měl útočník jistotu, že je uživatel přihlášen. E-mail musel být vhodně napsán, aby na odkaz oběť klikla.
• odkaz na sociálních sítích - Sociální sítě nejsou v dnešní době hrozbou jen z důvodu prokrastinace, ale také velkou bezpečnostní hrozbou. Na Twitteru se často využívají zkracovače typu bit.ly nebo zkracovač samotného Twitteru (https://t.co). Problémem je, že běžný uživatel si často neověřuje, kam daný odkaz ve skutečnosti vede. Stačilo jedno kliknutí na neznámý odkaz ze zkracovače a mohlo dojít ke krádeži cookies.

Všemi způsoby útoku se dalo ukrást sezení nejen pro email Seznamu, ale i pro další uživatelské služby - jmenovitě: Seznam Email, Email Profi, Lide.cz, Firmy.cz, Sreality.cz, Sbazar.cz. Naopak se krádež cookie nedala použít pro profesionální služby, které vyžadují přihlášení ke Klientské zóně, jako jsou Sklik a Seznam Peněženka.

Doporučení pro uživatele

Bezpečnostní doporučení pro zamezení škodám plynoucím z potenciálního napadení jmenuje sám Tóth:

• odhlásit se z aktivní relace;
• smazat veškerá aktivní přihlášení na https://profil.seznam.cz/sessions;
• zkontrolovat nastavení e-mailu a vymazat veškeré podezřelé hodnoty - především:
  • sdílení schránky (https://email.seznam.cz/settings#/multiuser) - v případě, že si útočník přidal svůj e-mail do Sdílení schránky, tak má do vaší e-mailové schránky stále přístup, a to i po smazání všech relací;
  • pravidla (https://email.seznam.cz/settings#/rules) - u pravidel by neměl přístup do vaší schránky, ale v tom nejhorším případě by mu byla v kopii přeposílána veškerá vaše příchozí pošta. Případně mohl nastavit pravidlo, že zapomenuté heslo z jiné služby bude rovnou přeposláno na jiný e-mail.

Jak rychle probíhá oprava zranitelnosti?

Jak rychle reagoval Seznam na bezpečnostní incident, ilustruje Tóth:

• 09. 6. 2020 15:22 Nahlášená zranitelnost; 
• 10. 6. 2020 11:31 Potvrzeno přijetí; 
• 10. 6. 2020 17:32 Nasazen hotfix - doména i subdoména sweb.cz byla zablokována pro CORS požadavky. Stále bylo riziko v případě nalezení XSS na stránkách Seznamu; 
• 17. 6. 2020 Nahlášená zranitelnost Reflected XSS na Seznam subdoméně (video, img); 
• 18. 6. 2020 Opravena zranitelnost Reflected XSS; 
• 14. 9. 2020 K datu již byla zranitelnost z článku opravena. Schváleno zveřejnění zranitelnosti.

Zákeřnost tohoto útoku je o to větší, že probíhá na úrovni síťové komunikace. Neochrání vás před ní antivirový program, silné heslo napadené služby, ani dvoufázové ověření. A netýká se jen Seznamu. Stejnými způsoby lze napadnout všechny komplexní webové služby - a v tomto případě zvláště ty, které nabízejí možnost tzv. jednotného přihlášení.

Zdroje

• MarekToth.cz

 

Daniel Beránek, 01.12.2020 12:07

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

	Mistral demokratizuje pokročilé funkce AI Francouzský vývojář AI Mistral AI přichází s multimodálním modelem Pixtral Large, aktualizuje vlajkový jazykový model Mistral Large na verzi 24.11 a ve zdarma přístupné betě nabízí pokročilé funkce, jako jsou Web Search, Canvas a...
	SearchGPT kombinuje důvěryhodnost, kontext a přístupnost OpenAI představilo SearchGPT, novou funkci v rámci ChatGPT, která kombinuje sílu umělé inteligence a schopnosti přímého vyhledávání na internetu. Jde o krok směrem k plně integrovaným systémům, které mohou na základě uživatelských...
	Claude 3.5 Sonnet a Haiku: nová kapitola ve vývoji LLM Neustálý vývoj jazykových modelů přináší nové možnosti, jakým způsobem umělá inteligence ovlivňuje nejen interakci mezi uživateli a počítači, ale práci s daty jako takovou. Společnost Anthropic nyní představuje 2  nové modely –...
	Spotify přidává videa Spotify stále rozšiřuje svou nabídku funkcí, aby uživatelům poskytlo co nejkomplexnější hudební zážitek. Nově se snaží zintenzivnit posluchačský zážitek přidáním videí, díky čemuž mohou uživatelé sledovat videoklipy...