Google heeft een beveiligingsonderzoeker 5.000 dollar betaald die een Cross-site Scripting (XSS)-lek in Gmail voor iOS rapporteerde. Dit is de app waarmee eigenaren van een iPhone of iPad snel hun Gmail-accounts kunnen controleren.
Via de kwetsbaarheid was het mogelijk om zonder enige interactie van de gebruiker kwaadaardige code uit te voeren om bijvoorbeeld cookies en session tokens mee te stelen. Het openen van alleen een bericht was voldoende. De kwetsbaarheid die onderzoeker Roy Castillo ontdekte bevond zich in de 'Mail Attachment' feature van Gmail voor iOS.
De bestandsnaam van bijlages werd niet goed geescaped, waardoor Cross-site Scripting mogelijk was. Door gebruik te maken van Google Analytics kon Castillo scriptcode injecteren die op mail.google.com werd uitgevoerd. De onderzoeker waarschuwde Google op 8 oktober, dat het probleem de volgende dag al had verholpen en de onderzoeker zijn beloning van 5.000 dollar toekende. Nu het probleem is verholpen heeft Castillo een omschrijving van zijn bug online geplaatst.
Deze posting is gelocked. Reageren is niet meer mogelijk.