Tällä hetkellä haetaan:

• ASSEMBLY Summer 2010 pärähti käyntiin
• Apple ja antennit
• "Maailman kovin hakkeri" paljastui IT-maailman suurimmaksi uunoksi
• Apple heitti HTC:n niskaan uuden patenttirikkomussyytteen
• Älä lähetä tappouhkausta USA:n varapresidentille
• Fifa.comissa kävijätulva jalkapallon MM-kisojen ansiosta
• Applen uusi käyttäjäsopimus ahdistaa yksityisyyden puolustajia
• WordPress 3.0 saatavilla
• Apple, IBM, Adobe ja joukko muita yrityksiä syytteeseen patenttirikkomuksesta
• Yksityisyyden puolustajilta avoin kirje Facebook-pomolle
• Uutisarkisto

Get it Right hakukoneoptimointi

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Tiistai, 11.3.2008

Gmail-varmuuskopioija varasti käyttäjätunnukset

Gmail-sähköpostilaatikosta varmuuskopion käyttäjän kiintolevylle ottava apuohjelma G-Archiver on paljastunut haittasovellukseksi. Vaikka varmuuskopiointi onnistuukin, lähettää sovellus samalla varmuuskopiointavan käyttäjätunnuksen salasanoineen sovelluksen koodaajalle. Asia paljastui, kun Jeff Atwoodin ylläpitämän Coding Horror -blogin lukija Dustin Brooks päätti kokeilla sovellusta.

Ohjelmointitaitoinen Brooks vilkaisi sovelluksen lähdekoodia Reflectorin avulla ja huomasi, että G-Archiverin koodaaja (oletettavasti nimeltään John Terry) oli sisällyttänyt oman Gmail-käyttäjätunnuksensa ja -salasanansa sovelluksen lähdekoodiin. Kyseessä ei ole kenties maailman nokkelin menettely, mutta vielä enemmän Brooks järkyttyi huomatessaan, että sovellus lähettää kaikkien varmuuskopioitavien käyttäjätunnusten salasanat sovelluksen tekijälle. Brooks huolestui, koska hän oli juuri käyttänyt itse sovellusta.

Brooks päätti kokeilla sovelluksen tekijän käyttäjätunnusta ja salasanaa ja totesi ne toimiviksi. Postilaatikossa häntä tervehti 1777 sähköpostia käyttäjätunnusten ja salasanojen kera. Brooksin omat tiedot olivat viimeisimmässä viestissä. Vastuuntuntoisena henkilönä Brooks poisti kaikki viestit ja vaihtoi tunnuksen salasanaa. Lisäksi hän pyysi Googlen ylläpitoa poistamaan koodaajan käyttäjätunnuksen, koska ei itse pystynyt sitä tekemään.

G-Archiverin kotisivuille on lisätty tiedote tapahtuneesta. Tiedotteen mukaan sovelluksessa on havaittu virhe, joka "on mahdollisesti paljastunut käyttäjätunnuksia ja salasanoja". Käyttäjiä pyydetään vaihtamaan salasanansa välittömästi. Selityksen mukaan G-Archiverin jakeluversioon oli päätynyt testiversion koodia vahingossa. Ilmeisesti testauksen yhteydessä käyttäjätunnusten ja salasanojen välittäminen sovelluksen koodaajalle on tarpeellista.

Muita aiheeseen liittyviä uutisia

Kommentoi juttua

Aihe

Kommentit ( 0 uutta / 2 )

pistettä.

-2 -1 0 1 2

Näytä vain kommentit joilla on vähintään

Ei tuollaista tarvitse. Gmail tukee IMAP protokollaa joten sieltä voi ladata kaikki sähköpostit omalle koneelleen. Aivan kuten voi POP kautta ladata kaikki itselleen ja kopio säilyy omalla koneella kun GMAIL sisältää alkuperäiset.

Tuo vaikuttaa kyllä ihan ilmiselvästi tarkoituksella tehty mutta olisi kiva tietää miksi kaikki sähköpostit oli "lukematta"? Ainakin näköjään kuvankaappauksesta selviää heti tunnus ja salasana joten ei tarvitse sähköpostia edes avata joten ei voi oikeudessa sillä tavalla todistaa että sähköpostia olisi luettu. Mutta voidaan todistaa että tunnus ja salasana ovat olleet saatavilla.

Epäilen että Google säilyttää käyttäjien sähköposteja yhdellä kiintolevyllä vaan vähintään on kopioitu kerran jos toisenkin jonnekkin päin Googlen arkistoa.

Linux ja KDE4 on mitä tarvitset tänää ja huomenna.

	Re: Gmail-varmuuskopioija... weicco, 12.3.2008 06:45:39	Pisteet: 0 Vastaa

Mielenkiintoista tästä tekee sen, että John poika oli koodannut oman SMTP clientin archiveriin ja laittanut oman käyttäjätunnuksen & salasanan luultavasti sen takia, ettei hänen tarvitsisi käyttää käyttäjän tiliä mailin lähetykseen. Tämä olisi jättänyt käyttäjän sent-boksiin ilmoituksen lähteneestä mailista, joka olisi huomattu hyvin pian. Nyt hän pystyi "lähettämään" sähköpostia itselleen huomaamattomasti.

Join me! Together we can rule the galaxy as father and son.