Уязвимость в Yahoo Mail, приводящая к получению писем без темы и единой ссылки

Question

Уязвимость в Yahoo Mail, приводящая к получению писем без темы и единой ссылки

В последнее время я получал случайные электронные письма от друзей с Yahoo Mail (или sbcglobal.net, который использует Yahoo Mail) без темы и некоторого случайного URL, на который я не собираюсь нажимать.

Сначала я подумал, что кто-то завладел их паролем, и рекомендовал обновить пароли.

Я только что получил письмо от кого-то, кто изменил свой пароль на прошлой неделе.

Это какая-то уязвимость межсайтового скриптинга? Есть ли какой-нибудь способ узнать, просто будучи получателем одного из сообщений?

Вот несколько заголовков из недавней почты:

Received: from [999.999.999.999] by web83806.mail.sp1.yahoo.com via HTTP; Wed, 27 Jun 2012 09:23:30 PDT
X-Mailer: YahooMailWebService/0.8.118.349524
Message-ID: <1340814210.6602.YahooMailNeo@web83806.mail.sp1.yahoo.com>
Date: Wed, 27 Jun 2012 09:23:30 -0700 (PDT)

IP в черном списке в полученном заголовке был от динамического IP в Норвегии.

Итак, я предполагаю, что машина с этим IP-адресом смогла получить cookie-файл Yahoo Mail моего друга и использовать его для отправки электронной почты людям из ее адресной книги. Это звучит точно? Даже если кто-то использует HTTPS-соединение с Yahoo Mail, специально созданное электронное письмо может извлечь cookie и доставить его в другое место с помощью вызова RPCXML, не так ли?

Так как же защитить учетную запись Yahoo Mail от такой атаки?

ОБНОВЛЕНИЕ: я получил электронные письма как это от четырех различных людей теперь. Это, очевидно, не единичный инцидент, и пользователи Yahoo Mail наверняка могут что-то сделать, чтобы защитить себя.

1

spam-prevention yahoo-mail xss session-hijacking

Источник

tomlogic 28 июн '12 в 05:23

3 ответа

Другие вопросы по тегам spam-prevention yahoo-mail xss session-hijacking

Rampazzo 04 июл '12 в 15:56 2012-07-04 15:56 · Answer 1 · 2012-07-04 15:56

Случилось и с моим аккаунтом в Yahoo. Заражение произошло из-за того, что электронная почта перешла на веб-ссылку, на которую я случайно щелкнул мой Blackberry. Пришлось сменить пароль, удалить подключение Blackberry к электронной почте Yahoo и удалить мой список контактов Yahoo, чтобы быть в безопасности. Сообщали в службу поддержки Yahoo, но они предоставляли только стандартные ответы. Я не установил панель инструментов Yahoo. Я сильно подозреваю, что злоумышленник использует некоторую слабость в инфраструктуре учетных записей Yahoo, возможно, связанную с соединителем Yahoo BIS для Blackberry. Это не похоже ни на попытку взлома пароля, ни на перехват сеанса.

ox45tallboy 29 июн '12 в 05:25 2012-06-29 05:25 · Answer 2 · 2012-06-29 05:25

@tomlogic: Мне интересно, происходит ли это из части "Всегда в системе" панели инструментов Yahoo. Нетрудно было бы подделать соединение https, исходящее с сервера Yahoo через сценарии страницы, в основном запрашивая идентификатор пользователя в безопасном формате (хотя, как вы указали, это также может быть файл cookie сеанса, поскольку сеансы Yahoo теперь практически неопределенны по длине), чтобы страница могла знать, какое объявление показывать на основе сохраненного профиля.

Я не знаю, что это на самом деле так, но именно так я и сделал бы: вы должны снять галочки с целыми лототами при настройке почты Yahoo (и нескольких других "бесплатных" приложений), чтобы избежать установка этой чокнутой панели инструментов, которая абсолютно ничего не делает, кроме как предоставляет окно поиска Yahoo (кто больше этим пользуется?) и новое уведомление по электронной почте, но также сохраняет каждый посещенный вами веб-сайт и все, что вы вводите, в незашифрованной веб-форме.

Я отправляю ответы 5 разным людям, которые прислали мне одно из этих писем "без темы со ссылкой на фишинговый сайт", что они должны сменить пароль с другого компьютера или со смартфона, а затем запустить антивирус как а также антишпионское ПО, такое как MalwareBytes или SpyBot, перед входом в Yahoo на своем компьютере, а также удаление панели инструментов Yahoo и связанных приложений Yahoo. Какую дополнительную ценность они обеспечивают?

shyammakwana.me 30 июл '13 в 20:19 2013-07-30 20:19 · Answer 3 · 2013-07-30 20:19

Это не межсайтовый скриптинг.

Возможно, ваш друг стал жертвой Phishing или же infected by spyware на своем ПК. В интернет-SEA существует множество программ-шпионов, которые крадут пароли пользователей, данные кредитных карт, файлы cookie и т. Д. Важные детали.

Автоботы такого типа устанавливаются в браузере как аддоны или расширения и загружаются из почтовых сообщений или спама.

Чтобы быть в безопасности Обновляйте свой браузер часто и используйте хорошие шпионские программы (поиск Spybot и уничтожить).