Nieuws
image

SSL kan Gmail logingegevens niet beschermen

donderdag 31 januari 2008, 17:48 door Redactie, 13 reacties

Consumenten die hun Gmail via een draadloos netwerk controleren, lopen het risico dat hackers op hun account kunnen inloggen. Vorig jaar demonstreerde beveiligingsonderzoeker Robert Graham een nieuwe tool waarmee het kinderlijk eenvoudig is om Gmail, Hotmail en andere logins voor webaccounts, via een onbeveiligd draadloos netwerk te stelen. Aanvallers kunnen zelfs achterhalen wat mensen online besteld hebben. De "Hamster", zoals de software wordt genoemd, blijkt ook SSL Gmail verkeer te kunnen onderscheppen.

Voorheen werd aangenomen dat dit veilig was, omdat Gmail in SSL mode alles versleutelt. Gmail's JavaScript blijkt echter terug te vallen op de niet versleutelde http mode als https niet beschikbaar is. Dit komt regelmatig voor als een laptop verbinding maakt met een hotspot voordat de gebruiker is ingelogd. Als de laptop wordt geopend en verbinding maakt met een WiFi hotspot, laat het meestal een loginpagina met de gebruikersovereenkomst zien. Op dit moment wordt SSL geblokkeerd en communiceert Gmail's JavaScript via de onversleutelde http mode, en kan een aanvaller de gegevens stelen.

Andere applicaties zoals Microsoft’s MSN/Hotmail en Yahoo hebben niet eens SSL mode. Dat ze SSL gebruiken om in te loggen maakt niets uit, omdat ze na de authenticatie van de gebuiker op de onversleutelde mode terugvallen.

Reacties (13)
31-01-2008, 17:54 door SirDice
GMail doet ook IMAP en SMTP over SSL..
Werkt prima met bijv. Thunderbird..

En, belangrijker, dan werkt dit truukje niet ;)
31-01-2008, 18:49 door Anoniem
Klopt ja, gewoon Gmail via Thunderbird benaderen. Overigens
gaat SMTP daar niet met SSL maar TSL
31-01-2008, 19:04 door Anoniem
Gmail heeft geen IMAP, wel SMTP en POP maar geen SSL of TLS
via Thunderbird. ^^^^^
31-01-2008, 20:02 door Dr.Wh4x
Dit is oud nieuws zeg.
Nederland is meestal wat later eh, maar omdat ook al op
website's te gaan doen....
31-01-2008, 22:22 door Anoniem
ja, het is wel aardig dat de login SSL verstuurd wordt. Dan kunnen ze
alleen daarna de berichten lezen die de gebruiker ook leest en niet zelf
later in de mailbox terugkomen. En die javascriptafhandelingen zullen
waarschijnlijk vaker acties zijn als verwijder dan echte berichten. Meestal
wordt een bericht toch doormiddel van page refresh getoond en niet door
javascript interactie. Volgens mij valt het wel mee, zolang ze de login maar
safe houden.
01-02-2008, 07:09 door Anoniem
Dit is toch niet veel anders dan een standaard SSL man in teh middle
attack? Of ben ik nou gek? Het gene wat al enkele jaren bekend is? Of je
dat nou op een kabeltje doet of op een wireless netwerk is nou niet echt
een spannend verschil ;)
01-02-2008, 09:17 door Korund
[...]via een onbeveiligd draadloos netwerk te
stelen
Bestaan er nog onbeveiligde draadloze netwerken dan?
01-02-2008, 10:14 door Anoniem
zal je nog verstelt over staan hoeveel het er zijn.

al is tegenwoordig het merendeel wel beveiligd.
01-02-2008, 10:31 door SirDice
Door Anoniem
Gmail heeft geen IMAP, wel SMTP en POP maar geen SSL of TLS
via Thunderbird. ^^^^^
Zeker weten van wel aangezien ik het al een tijdje zo gebruik.

http://www.security.nl/article/17236/1/Google_onthult_gratis_IMAP_voor_Gmail.html

http://mail.google.com/support/bin/answer.py?answer=77662
02-02-2008, 13:11 door Anoniem
was imap niet eerst voor een select aantal begruikers, dus
beta zeg maar
03-02-2008, 18:40 door Anoniem
Bestaan er nog onbeveiligde draadloze netwerken dan?

In mijn eigen buurt wel ja, helaas. De mijne is overigens
beveiligd.
03-02-2008, 19:21 door Anoniem
Door Peter V.
Bestaan er nog onbeveiligde draadloze netwerken
dan?

In mijn eigen buurt wel ja, helaas. De mijne is overigens
beveiligd.
wat is er met X-2 gebeurt peter?
04-02-2008, 20:28 door Anoniem
Door Anoniem
Gmail heeft geen IMAP, wel SMTP en POP maar geen SSL of TLS
via Thunderbird. ^^^^^

gmail heeft al maanden imap...... gebruik het al de hele tijd
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Advertentie
Certified Secure