Zagrożenie dla poczty odbieranej z poziomu WWW

23 lipca na stronach pocztowych portali Onet.pl, WP.pl, Interia.pl, o2.pl i Gazeta.pl została wykryta luka bezpieczeństwa, która pozwalała na automatyczne uruchamianie apletów Java u użytkowników, którzy otworzą e-mail w formacie HTML. Aplety te mogą zostać wykorzystane np. do phishingu bądź przejęcia konta pocztowego.

Jak informuje programista Marek Futrega na swojej stronie www.futrega.org, o występowaniu luki wszystkie portale zostały poinformowane w dzień po jej wykryciu, czyli 24 lipca 2005. Do dziś uporali się z nim specjaliści z wszystkich wymienionych serwisów - oprócz Onetu.

Co to jest aplet Java?

Aplety Java to programy, które można umieszczać w stronach HTML. Aplety bardzo często stosuje się w czatach, grach online itp., dlatego większość użytkowników ma w przeglądarce zainstalowaną obsługę Javy.

Aby z niej skorzystać, wystarczy w wiadomości e-mail zaszyć instrukcję, która uruchomi dany aplet Java. Odbierający e-maila z poziomu witryny WWW użytkownik może nawet nie zauważyć, że niewinny list uruchomił szkodliwy kod.

Jak go niecnie wykorzystać?

Jak wyjaśnia na swojej stronie Marek Futrega, aplety uruchamiane automatycznie przy próbie wyświetlenia wiadomości e-mail, mogą przekierować użytkownika z poczty portalu na dowolną inną stronę (np. pornograficzną) lub wyświetlić interaktywne okno dialogowe, które zachęcać będzie użytkownika do wpisania swoich danych osobowych czy aktualnego hasła (np. prosząc o jego ponownego podania celem rzekomej weryfikacji).

Aplety Java mają także możliwość uruchamiania kodu Javascript, przez który z kolei można skasować pocztę użytkownika, przesłać ją do innych osób, czy też odczytać aktualne pliki cookies użytkownika i przekazać je na zewnątrz w celu przejęcia sesji użytkownika.

Problem zgłoszony i raczej rozwiązany

Specjaliści Wirtualnej Poczty, Interii, o2.pl oraz Gazeta.pl szybko zajęli się problemem i wprowadzone zostały odpowiednie poprawki do systemów pocztowych. Jak na razie na rozwiązanie czeka poczta na portalu Onet.pl. Według relacji odkrywcy luki, do wczoraj dział poczty portalu nie przesłał żadnej odpowiedzi, a luka nadal występuje.

Jak informuje Marek Futrega, opisanej luki nie wykryto w systemach pocztowych Hotmail, Yahoo! Mail oraz Gmail. Może jednak występować w innych portalach i serwisach udostępniających pocztę przez strony WWW.