Monday, September 24, 2007

Google pwn3d like a bitch!!! 3 дупки в сигурността!

Зловеща седмица за Google (които, както разбирате, започвам да мразя все повече и повече). След като самият аз открих 2 bug-а при тях, които хич не са от безобидните, днес прочетох как да ви чета мейлите, да ви взема снимките от компютъра и да наспамя вас и всичките ви познати :) Звучи гадно, нали? И най-гадното е, че вие няма какво друго да правите, освен да чакате Google да си оправят грешките.

Добре де, не само. За да не хакнат вашият Gmail, Picasa или Blogger, трябва да не кликате на нито един линк в Мрежата, докато сте логнат с вашият Google акаунт. Звучи зловещо, но това е единственото сигурно решение на проблема.

Подобно на случая с ArenaBG, който кликне на грешен линк - изгаря. Ако кликне някой админ - перфектно :) Със самото кликане хакерът ще вземе вашите данни и автоматично ще източи всичката информация, до която се докопа, а после ще прави каквото намери за добре с нея.
Ако искате да прочетете по-подробно за самите бъгове кликнете тук (страх ви е, нали :П)
По-конкретно за дупката в Picasa - тук (хайде де :)
Как да източим Gmail - тук (логни се първо).
Как да пробием през Google Search Appliance - ето тук (благодаря :)

Очевидно, дупка в сигурността в система от такъв мащаб има силно социално явление. Около 200 000 уебсайта са застрашени заедно с данните на всичките им потребители, както и огромните системи като Gmail и Blogger (Blogspot), където се намира и моят блог в момента. Най-лошото е, че тези експлойти са вече публични и сега се очаква вълна от 15-годишни хлапета да копират кода и да хакнат колкото се може повече потребители, тъй както батко хакер им е показал. Да му мислят тия, дето са нагоре в търсачките, в това число и аз :)

8 comments:

SEOist said...

Още ли даваш 6 хиляди марки за хакване на gmail акакунт.

ГеоргиМатеев said...

хахахахах ДА! Мерси, че ми напомни :)

Anonymous said...

Не виждам връзката с Аренабг ;-)

Anonymous said...

Мерси за инфорто. Искренно се надявам някои да се добере до кода за ранкването и да ми го прати хехе!

Georgi Mateev said...

@marto връзката с Арената е че пак с XSS ги удрят. Дават ти линкче, ти го кликаш и те ти казват мерси :)

Anonymous said...

звучи ужасяващо.

Anonymous said...

Май са се го оправили:)
http://notrial.info/news/it/1406.html

Anonymous said...

Google си имат по важни занимания ;) да купуват нови и нови компании :) бъговете друг път :)