Dziura w Gadu-Gadu

W komunikatorze internetowym Gadu-Gadu wykryto błąd, który umożliwia ukrycie prawdziwej nazwy pliku przesyłanego do użytkownika GG - informuje serwis SecurityTracker.com. Luka w zabezpieczeniach komunikatora, którą odkrył Bartosz Kwitkowski, może być wykorzystana do 'dyskretnego' przesyłania wirusów i trojanów.

Dziura w Gadu-Gadu
Błąd występuje w najnowszej wersji Gadu-Gadu - 6.0. Z informacji przesłanej do SecurityTracker przez Bartosza Kwitkowskiego wynika, że Gadu-Gadu ma problemy z właściwym odczytaniem odpowiednio spreparowanej nazwy pliku. Z opublikowanego przez SecurityTracker opisu luki w GG wynika, że przy próbie wysłania do użytkownika komunikatora pliku, który będzie miał dwa rozszerzenia, rozdzielone wieloma spacjami, program odczyta tylko pierwsze z rozszerzeń.

Jeśli więc plik o prawdziwej nazwie:

pic.jpg%20(228%20kB)%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20.bat (ciąg znaków '%20' odpowiada w adresach URL spacji)

zostanie wysłany za pośrednictwem komunikatora, to klient Gadu-Gadu odbiorcy zidentyfikuje go jako pic.jpg - mimo, iż prawdziwe rozszerzenie to .bat. Z listu przesłanego przez odkrywcę błędu do SecurityTracker wynika, że błąd był testowany na pięciu osobach korzystających z GG - 4 z nich uruchomiły przesłany do nich plik.

Ta luka w zabezpieczeniach GG może zostać wykorzystana np. do przesyłania do użytkowników wirusów czy 'trojanów' (użytkownik może być przekonany, że odbiera np. grafikę w formacie .jpg, podczas gdy tak naprawdę będzie to plik z rozszerzeniem .exe).

Warto wspomnieć, że eksperci stosunkowo często wykrywają błędy w zabezpieczeniach popularnych komunikatorów - przy czym niejednokrotnie są to 'dziury' znacznie groźniejsze niż ta odkryta w Gadu-Gadu. Groźne błędy znajdowano m.in. w ICQ oraz AIM (AOL Instant Messenger) - były to luki umożliwiające zdalne wywołanie osławionego błędu przepełnienia bufora i, w konsekwencji, uruchomienie na zaatakowanej maszynie dowolnego kodu.

Udało nam się skontaktować z Bartoszem Kwitkowskim, odkrywcą błędu w GG. Spytaliśmy go, czy poinformował już producentów GG o błędzie - "O tym błędzie nie poinformowałem. Dlaczego? Już wyjaśniam. Dwa tygodnie temu poinformowałem producenta GG, że jest możliwość obejścia hasła do profilu użytkownika. Możemy zdobyć archiwum oraz listę kontaktów. Numer konta oraz hasło użytkownika, pozostaje jednak bezpieczne. Nie otrzymałem odpowiedzi do dnia dzisiejszego. Jeżeli ktoś ignoruje tego rodzaju informacje to znaczy, że ich nie potrzebuje" - powiedział nam Bartosz Kwitkowski. Nasz rozmówca wyjaśnił również, jak udało mu się wpaść na trop luki - "Kilka miesięcy temu był podobny problem z IE. Tylko, że w przypadku GG sprawa jest troszkę utrudniona. Nazwa pliku nie może być za długa, bo nie dojdzie do transferu (pewne ograniczenie). Znalezienie błędu to nie przypadek - szukanie dziur w Windows oraz w aplikacjach, które mają "kontakt" z Internetem jest moim hobby. Zajmuję się bezpieczeństwem systemu Windows od 5 lat" - mówi Kwitkowski.

Skontaktowaliśmy się także w tej sprawie z firmą Sms-Express (producentem Gadu-Gadu) - jej przedstawiciele sprawdzają właśnie doniesienia o błędzie w komunikatorze. Z danych opublikowanych na stronie firmy wynika, że z GG korzysta miesięcznie ponad 2,7 mln użytkowników.

Więcej informacji:

http://www.securitytracker.com/alerts/2004/Aug/1011037.html

Aktualizacja: 27 sierpnia 2004 08:05

Informację o błędzie potwierdził również Łukasz Fołtyn z Sms-Express. Przedstawiciel firmy zastrzegł jednak, że luka w zabezpieczeniach Gadu-Gadu nie jest zbyt groźna: "Plików nie mogą przesyłać nam osoby, których nie mamy na liście kontaktów, więc taka próba przesłania wirusa mogłaby zajść jedynie między znajomymi, co raczej trudno sobie wyobrazić - a na pewno nie jest to sytuacja masowa. Poza tym każdą taką próbę bez problemy wykryje program antywirusowy. Oczywiście, mimo to wkrótce udostępnimy poprawiony program" - uspokaja Łukasz Fołtyn.