Gmail cookie漏洞會讓用戶隱私外洩

| | | | | | 留下回應

    

一名駭客組織的成員已經從概念上證明，可以借助Gmail cookie漏洞竊取郵件資訊。

GNUCitizen組織的Petko Petkov開發出這一「概念驗證」（Proof of Concept）程式。Pure Hacking安全公司研究員Chris Gatford表示：「這種程式可以轉發你全部的來信。雖然目前這僅僅是一個概念驗證，但它可以利用這一漏洞來做壞事。」

Gatford表示，如果受害者點擊惡意連結並登入其中，攻擊者可能利用跨站腳本漏洞破解Gmail帳戶。一旦得手，駭客可以獲得被害人的cookie資訊，並以此向另外一個POP帳戶e-mail轉發全部的信件。

Google規定，cookie資訊要被保留兩年。

Gatford表示：「一旦你掌握了他們電子信箱的cookie，你可以在兩年的時間內，無需密碼即可登入別人的e-mail。」

很明顯，這對用戶非常危險，很多企業並不過濾從工作單位發給員工個人e-mail 的信件。

要解決這一問題，用戶可以利用Firefox瀏覽器來存取Gmail，並禁止JavaScript的使用，但一旦禁止JavaScript，用戶不能存取很多主流網站的部分區塊。

Gatford說，現在許多企業管理人員沒有意識到跨站腳本漏洞的問題。