Google Webprotokoll anfällig für neue Firesheep-hack

2014-01-08  |  Comebuy News

Zwei Forscher haben gezeigt, wie eine umgebaute Version von Firesheep Wi-Fi Schnüffelnwerkzeug verwendet werden kann, um die meisten des Opfers Google Webprotokoll zuzugreifen, eine Aufzeichnung von alles Einzelperson gesucht hat.

Comebuy Verwandte Artikel: Firefox Add-on können Benutzer Browser-SessionsHow zum Schutz vor Firesheep-AttacksAndroid Daten-Lecks entdeckt entführen: What You Need to KnowFacebook USV Sicherheit mit HTTPS AccessGoogle erschleicht Street-View-Autos

Die Kern-Schwäche entdeckt durch den Proof-of-Concept-Angriff von Vincent Toubiana und Vincent Verdot entwickelt liegt mit Session-ID (SID) sogenannten, verwendeten Cookie um einen Benutzer zu jedem Dienst identifizieren, auf die sie zugreifen, während Sie auf einen der Google Services angemeldet.

Jedes Mal, wenn der Benutzer eine Anwendung, die gleiche zugreift, die SID-Cookie werden, im klaren gesendet soll, die die Firesheep aus den Daten gesendet und von einem PC kann, verbunden mit einem unverschlüsselten öffentlichen Wi-Fi Hotspot.

Da viele Google Services HTTPS verwenden (Gmail zum Beispiel), der Angreifer hat einen Weg, um dem Benutzer diese SID erneut zu finden. Die direkteste Methode ist ein Rogue Access Point einrichten und verwenden Sie dann einen iFrame, den Benutzer an einen Google-Dienst (z. B. Warnungen) zu leiten, die einen verschlüsselten Kanal nicht verwendet.

Der Angriff erfordert auch, dass der Benutzer Google Webprotokoll tracking eingeschaltet. Dies ist das System, die Registerkarten eines Benutzers Suche Geschichte hält und viele Menschen sind nicht einmal bewusst vorhanden ist, da es wie bei der Google Konto-Setup-Prozedur festgelegt ist.

Testen die Technik gegen 10 Freiwilligen, konnten die Forscher bis zu 82 Prozent der von ihnen während der Testperiode besucht Links abrufen.

Die einzige Verteidigung gegen diesen Angriff ist für Benutzer zu Überresten von Google unterzeichnet, während mit einem Wi-Fi-Hotspot oder eine persönliche VPN einrichten. Benutzer könnten auch Google Webprotokoll deaktivieren oder löschen seinen Inhalt.

Beachten Sie jedoch, Toubiana und Verdot beachten Sie bitte, dass "einige Probleme nicht angegangen werden können von Benutzern und erfordern eine Änderung der Google Cookie-Richtlinie" die große Sorge der Ausbau von bleibt Google ist auf andere Arten von Daten in seinen Dienst Google + tracking. "Während Google Schritte zur soziale Indikatoren in Ergebnis Personalisierung einschließen stattfindet, könnten soziale Netzwerk des Benutzers bald ausgesetzt sein."

Firesheep ist ein Browser-basiertes plug-in veröffentlicht vor einem Jahr von Sicherheit-Entwickler Eric Butler um Sicherheitslücken in den Weg-Cookies zu markieren, für Websites wie Facebook und Twitter über ausgetauscht wurden Wi-Fi-Verbindungen ohne HTTPS aktiviert öffnen. Obwohl kein neues Problem, zeigten Firesheep, wie einfach es war den Fehler in ein einfaches Werkzeug zu verwandeln, die von jeder Angreifer genutzt werden könnten.

« Back