Автор Тема: Брешь в безопасности Opera Mini  (Прочитано 2728 раз)

Оффлайн mimicria

  • Продвинутый
  • *****
  • Сообщений: 2599
  • Карма: +1429/-9
  • return (true);
    • Просмотр профиля
Брешь в безопасности Opera Mini
« : 15 Апреля 2009, 20:18:17 »
Открыв недавно в Опере Мини главную гугла, я с удивлением обнаружил, что уже авторизован в нём. Странным это было по двум причинам:
  • Аккаунт был чужой.
  • Коммуникатором никто, кроме меня, не пользовался.
Мгновенно забыв что собирался искать, я нажал на Gmail… и увидел чужую почту.

Судя по заголовкам писем, ящик принадлежал кому-то из Сербии. Среди прочего, там были сообщения о восстановлении паролей от YouTube и скайпа. Написав об проблеме владельцу аккаунта с его собственного ящика, я задумался: как такое вообще могло случиться?

Первое (и пока единственное) что приходит в голову — на время сессии куки гугла сохраняются на сервере, через который работает мобильный браузер. Если не выйти из системы явно, куки остаются в наследство тому, кто следующим зайдёт на гугл. По идее, не исключено и одновременное использование аккаунта несколькими пользователями.

Поиск вывел на свежий топик форума поддержки Оперы Мини. Там сообщается об аналогичной проблеме, только с более невинными проявлениями — отображение чужих результатов недавнего поиска, использование чужих настроек. Самое интересное — это что Опера утверждает, что это не является проблемой безопасности:

Opera have looked at my problems and suggest it’s not a security issue. (источник)

Мораль истории — пока лучше воздержаться от использования Opera Mini для важных сервисов. Да, и по завершении работы полезно будет нажать “Sign Out”.

P.S. Спасибо разработчикам GMail, которые для смены пароля требуют ввести текущий; иначе любой случайный посетитель мог бы увести чужой аккуант. Но даже и не имея возможности сменить пароль к почте, злоумышленник может “увести” все аккаунты зарегестрированные на этот адрес.

P.P.S. Технические подробности для интересующихся. Использовался WM6 девайс, и Opera Mini hifi ardentopium 4.0.10222 20080207 (официальная, насколько я помню). Внизу страницы гугла было написано: “Last account activity was 11 hours ago from (сербский IP)”.

Оригинал статьи

ayadinara

  • Гость
Брешь в безопасности Opera Mini
« Ответ #1 : 24 Ноября 2009, 12:41:49 »
Снес систему, а паролей половину не помню. Высылать же все на мыло слишком муторно Может кто подскажет как восстановить жезлы?