Недостаток в Gmail мог позволить заблокировать учетные записи

Недостаток в Gmail мог позволить заблокировать учетные записи

Команда исследователей обнаружила серьезную уязвимость в Gmail. Злоумышленник, отправив жертве специально созданное сообщение, может закрыть ей доступ к собственному адресу электронной почты.

Эксперты использовали текст Zalgo (тип текста, состоящий из символов и метасимволов — букв, цифр и других символов), содержащий большое количество метасимволов (более 1 000 000), что привело к краху браузера на несколько минут.

После этого эксперты решили провести тот же эксперимент с Gmail, ожидая такого же отказа браузера. Однако результаты оказались более впечатляющими — специально созданной электронное письмо вызвало сбой самого Gmail.

Письмо было доставлено адресату, однако открыть его не удалось — через несколько минут Gmail отключится, показывая сообщение «Error 500». Исследователям удалось найти техническую уловку для обхода блокировки и активирования учетной записи, о чем они сообщили команде Google.

Через несколько недель Google сообщила, что начала работу над этим вопрос.

«Поняв, что благодаря созданному мной письму почтовая система Google перестала работать, я начал беспокоиться о возможных последствиях, которые могла вызвать данная уязвимость. Например, злоумышленник может заблокировать учетные записи», — пояснил Роберто Бинди, так называемый «белый хакер».

«Именно по этой причине мы решили опубликовать информацию об уязвимости уже после того, как Google исправила данный недостаток. Наш выбор был основан на этике, и это отражает кодекс нашей компании», — добавляет господин Бинди.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Поддержка FTP полностью уйдет из Chrome в 2020 году

Google уже давно пытается убрать из Chrome поддержку FTP. Не так давно браузер перестал отображать картинки и другие файлы по ссылкам вида ftp://, вместо этого Chrome скачивает файл. А уже в следующем году поддержка FTP уйдет из Chrome полностью.

Согласно планам Google, поддержка FTP будет полностью исключена из браузера с выходом Chrome 80. Ожидается, что релиз состоится в первом квартале 2020 года.

Основная причина претензий Google к протоколу FTP заключается в его слабой защищенности. В частности, беспокоит отсутствие какого-либо шифрования, что делает протокол уязвимым.

Джастин Тервей, один из разработчиков Chrome, объявил о планах отказаться от поддержки FTP как раз из-за отсутствия зашифрованных подключений. Также Тервей отметил небольшую востребованность протокола — им мало кто пользуется.

По словам разработчика Chrome, большинство платформ можно оснастить сторонними FTP-клиентами, так что отказ от поддержки протокола в браузере не сильно повредит пользователям.

Уже в версии Chrome 82 Google удалит весь код, связанный с FTP.

На самом деле, обсуждение прекращения поддержки FTP в Chrome длится уже более четырех лет. В качестве основных причин называются: совсем небольшой процент использования и дополнительный вектор атаки.

О планах отказаться от FTP заявили и разработчики Firefox. Причем вопрос поднимался более 18 лет назад.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru