Η Yahoo έχει διορθώσει ένα ελάττωμα στην υπηρεσία αλληλογραφίας της που θα μπορούσε να επιτρέψει στους χάκερς να παρακολουθήσουν τα μηνύματα ηλεκτρονικού ταχυδρομείου των χρηστών σχεδόν ένα χρόνο μετά την αποκάλυψη και την ενημέρωση του ίδιου σφάλματος. Ο Jouko Pynnonen από τη Φινλανδία έλαβε 10.000 δολάρια από το Yahoo για να αποκαλύψει τη νέα ευπάθεια, την οποία ο Yahoo επέλεξε τον περασμένο μήνα.

Το ελάττωμα αφορούσε μια επίθεση δέσμης ενεργειών μεταξύ ιστοτόπων, η οποία έδωσε σε έναν εισβολέα την άδεια να διαβάσει το ηλεκτρονικό ταχυδρομείο ενός χρήστη ή να δημιουργήσει έναν ιό για να μολύνει τους λογαριασμούς Yahoo Mail. Ο Pynnonen εξήγησε ότι ένας χρήστης πρέπει να δει το μήνυμα ηλεκτρονικού ταχυδρομείου από έναν εισβολέα για να λειτουργήσει το σφάλμα.

Το σφάλμα ήταν παρόμοιο με ένα παλιό ελάττωμα του Yahoo Mail που ανακάλυψε το Pynnonen πέρυσι που θα μπορούσε να δώσει στους χάκερ πλήρη έλεγχο ενός λογαριασμού Yahoo Mail.

Η έλλειψη στα φίλτρα Yahoo

Ο Pynnonen ανέφερε ένα κενό στο φίλτρο της Yahoo για μηνύματα HTML ως ένοχος για την πιο πρόσφατη ευπάθεια. Το φίλτρο λειτουργεί για να αποκλείει τον κακόβουλο κώδικα από το πρόγραμμα περιήγησης του χρήστη. Σύμφωνα με τον ερευνητή, το φίλτρο απέτυχε να συλλάβει όλα τα χαρακτηριστικά κακόβουλων δεδομένων. Ένας χάκερ θα μπορούσε τότε να εκτελέσει κακόβουλο JavaScript μόνο στέλνοντας ένα προσαρμοσμένο μήνυμα ηλεκτρονικού ταχυδρομείου στο θύμα.

Ο ερευνητής ανακάλυψε το ελάττωμα στην προβολή της σύνθεσης μηνυμάτων ηλεκτρονικού ταχυδρομείου, όπου διάφορες επιλογές συνημμένων χαρακτήρισαν την προσοχή του σε πιθανά σφάλματα στο βασικό φιλτράρισμα HTML. Στη συνέχεια, ο Pynnonen δημιούργησε ένα μήνυμα ηλεκτρονικού ταχυδρομείου με διάφορα συνημμένα και έστειλε το μήνυμα σε ένα εξωτερικό γραμματοκιβώτιο. Κατά την επιθεώρηση της ακατέργαστης HTML που περιέχεται στο ηλεκτρονικό ταχυδρομείο, κάποια κακόβουλα χαρακτηριστικά έφεραν την προσοχή του.

"Αυτό που μου έριξε το μάτι ήταν τα χαρακτηριστικά των δεδομένων * * HTML. Πρώτον, συνειδητοποίησα την προσπάθεια που πέρασα από το περασμένο έτος για να απαριθμήσω τα χαρακτηριστικά γνωρίσματα HTML που επέτρεπε το φίλτρο της Yahoo δεν τα κατάφερε όλα ».

Ο Pynnonen θεώρησε ότι ήταν δυνατή η ενσωμάτωση αρκετών ιδιοτήτων HTML που θα περάσουν από το φίλτρο HTML της Yahoo. Ο ίδιος βρήκε τελικά μια παθολογική περίπτωση μετά τη σύνταξη ενός μηνύματος ηλεκτρονικού ταχυδρομείου με καταχρηστικά στοιχεία *.

Το Yahoo έχει βρεθεί σε πυρκαγιά νωρίτερα αυτό το έτος μετά από αναφορές που δείχνουν ότι τουλάχιστον 200 εκατομμύρια λογαριασμοί αλληλογραφίας πωλήθηκαν στον σκοτεινό ιστό.

Διαβάστε επίσης:

• Πώς να συνδεθείτε στο Windows 10 Mail με λογαριασμό Yahoo
• Η εφαρμογή Yahoo Mail για τα Windows 10 συγχρονίζει τις επαφές με το Microsoft People