Форум.orn

HARD&SOFT => Сетевая безопасность => Тема начата: mimicria от 15 Апреля 2009, 20:18:17

Название: Брешь в безопасности Opera Mini
Отправлено: mimicria от 15 Апреля 2009, 20:18:17

Открыв недавно в Опере Мини главную гугла, я с удивлением обнаружил, что уже авторизован в нём. Странным это было по двум причинам:

• Аккаунт был чужой.
• Коммуникатором никто, кроме меня, не пользовался.

Мгновенно забыв что собирался искать, я нажал на Gmail… и увидел чужую почту.

Судя по заголовкам писем, ящик принадлежал кому-то из Сербии. Среди прочего, там были сообщения о восстановлении паролей от YouTube и скайпа. Написав об проблеме владельцу аккаунта с его собственного ящика, я задумался: как такое вообще могло случиться?

Первое (и пока единственное) что приходит в голову — на время сессии куки гугла сохраняются на сервере, через который работает мобильный браузер. Если не выйти из системы явно, куки остаются в наследство тому, кто следующим зайдёт на гугл. По идее, не исключено и одновременное использование аккаунта несколькими пользователями.

Поиск вывел на свежий топик форума поддержки Оперы Мини. Там сообщается об аналогичной проблеме, только с более невинными проявлениями — отображение чужих результатов недавнего поиска, использование чужих настроек. Самое интересное — это что Опера утверждает, что это не является проблемой безопасности:

Opera have looked at my problems and suggest it’s not a security issue. (источник (http://my.opera.com/community/forums/topic.dml?id=272192&t=1239377005&page=1#comment2952864))

Мораль истории — пока лучше воздержаться от использования Opera Mini для важных сервисов. Да, и по завершении работы полезно будет нажать “Sign Out”.

P.S. Спасибо разработчикам GMail, которые для смены пароля требуют ввести текущий; иначе любой случайный посетитель мог бы увести чужой аккуант. Но даже и не имея возможности сменить пароль к почте, злоумышленник может “увести” все аккаунты зарегестрированные на этот адрес.

P.P.S. Технические подробности для интересующихся. Использовался WM6 девайс, и Opera Mini hifi ardentopium 4.0.10222 20080207 (официальная, насколько я помню). Внизу страницы гугла было написано: “Last account activity was 11 hours ago from (сербский IP)”.

Оригинал статьи (http://www.yason.info/2009/04/15/opera-mini-security-issue/)

Название: Брешь в безопасности Opera Mini
Отправлено: ayadinara от 24 Ноября 2009, 12:41:49

Снес систему, а паролей половину не помню. Высылать же все на мыло слишком муторно Может кто подскажет как восстановить жезлы?