Mark Stockley, független webes tanácsadó, a Sophos NakedSecurity blogból
Két biztonsági kutató elkészítette a hírhedt Firesheep plugin saját verzióját, hogy leleplezzenek egy adatszivárgást a világ kedvenc keresőjében.
Ez a plugin kihasználja a Google Web History képessége által használt titkosítatlan sütijeinek használatát.
Habár a Weh History használatához be kell jelentkezni, nem szükséges titkosított kapcsolat (HTTPS) hozzá. Ezzel a hibával a támadók megtudhatják, hogy Ön mi után keresett, kik a közösségi kapcsolatai és kik szerepelnek az Ön Gmail címjegyzékében.
A Firesheep új változata lehetővé teszi a hackerek számára, hogy könnyedén kihasználják ezt a sérülékenységet, amennyiben ugyanazt a WiFi hotspotot használják, mint Ön.
Vincent Toubiana és Vincent Verdot biztonsági kutatók számára egyértelmű volt a Firesheep használatának alkalmazása. Az eredeti Firesheep plugint tavaly októberben adta ki egy olyan biztonsági kutató, akikek tele lett a hócipője azzal, amit a pl. a Twitter és a Facebook saját felhasználóinak védelmében tett elégtelen lépéseivel kapcsolatban látott. Miközben erőfeszítéseit nem igazán üdvözölték nagy óvációval, mégis látszólag elérték a kívánt hatást.
A jó hír az, hogy ez a legújabb kihasználás nem engedi a hackereknek, hogy átvegyék a felhasználó Google Profilját. Viszont cserébe leleplezik a személyes adatokat.
A két kutató úgy becsüli, hogy a Google használóinak 50%-a bekapcsolta a Web Search History opciót és sokan erről nem is tudnak. Rosszabb hír, hogy a veszélyezetett sütiket 20-nál is több olyan nagyobb weboldalon is használják, mint a Google Search, a Google Maps, a Youtube és a Blogger.
A kutatók már figyelmeztették a Google Biztonsági Csapatot, akik már javában dolgoznak a javításon. Addig is pedig azt javasolják, hogy ha nem biztonságos hálózatot használnak, ne lépjenek be Google fiókjaikba.
Habár van rá lehetőség, hogy megvédjük magunkat a Google HTTPS keresés használatakor, számos weboldal, ahol a sütik lelepleződhetnek, nem ajánlja fel lehetőségként a HTTPS opciót.
Ha Ön nem használja a Web Search History lehetőséget vagy soha nem is hallott róla, akkor célszerű felkeresnie ezt az oldalt és letiltania.
A kutatásról további információkat Toubiana és Verdot "Mutasd meg a sütidet, megmondom ki vagy" című leírásából tudhat meg.
Ha a Sophos videóját szeretné megtekinteni arról, hogyan küzdhet a Firesheep és barátai ellen akár titkosítatlan WiFi hálózaton, akkor itt megteheti.
További információ angol nyelven