Další dírka do českých freemailů, tentokrát do Post.cz a Email.cz

Myslíte si, že je vaše freemailová schránka odolná proti jakémukoliv útoku? Čtete si došlé emaily pouze vy, nebo někdo získal vaše heslo a tajně brouzdá vaší poštou? Bohužel nic nepravděpodobného...
Myslíte si, že je vaše freemailová schránka odolná proti jakémukoliv útoku? Čtete si došlé emaily pouze vy, nebo někdo získal vaše heslo a tajně brouzdá vaší poštou? Bohužel nic nepravděpodobného.

Každý ze začínajících, ale i zkušených internetových uživatelů vlastní jednu či více freemailových schránek. Ať už z důvodu odlehčení své soukromé doménové pošty, využívání bezplatného a jednoduchého přístupu, či pouze z potřeby skrýt se za anonymní adresu. Tak nebo tak, freemaily v dnešní době patří mezi nejnavštěvovanější a nejvytíženější servery v ČR a využívá je velká část internetové populace, neboť poskytuji komplexní a relativně bezpečné emailové služby. Proč relativně?

První skvrnkou na bezpečnosti freemailových schránek je systém uživatelských jmen. Jak všichni víme, každá WWW služba je chráněna uživatelským jménem a příslušným heslem. Bohužel u freemailů své přihlašovací jméno dáváme k dispozici celému Internetu, protože je totožné s naší emailovou adresou. Tím se značně ulehčuje práce případného útočníka, který musí vyřešit "pouze" problém s heslem, což v některých případech není velkým oříškem. Navíc existuje spousta rychlých "zkoušečů", které na dané přihlašovací jméno testují seznam nejpoužívanějších hesel.

Druhým menším problémkem byly ještě donedávna podporované kontrolní otázky, jež často vypovídaly o naivitě a nezkušenosti mnoha uživatelů. Např. jan.rener@post.cz a jeho kontrolní otázka. Jaké je moje jméno?

Dalším prostorem pro řádění je podpora HTML, konkrétně skriptů. Samotné HTML není samo o sobě nebezpečné a jediné, čím můžete rozhodit někoho na druhé straně mailu, je poslání třeba pro něj odpudivého obrázku. Z českých freemailů podporuje zasílání HTML pošty Post.cz a Email.cz. Centrum.cz, Seznam.cz, Atlas.cz ji přes webové rozhraní nevytváří ani nepřijímají. přesněji při příjmu dávají přednost textové podobě zprávy.

Díky těmto možnostem, které nám Post.cz a Email.cz nabízí, bychom teoreticky mohli do těla e-mailu vkládat tag <script> a pro uživatele velice nebezpečné JavaScripty. Toho si jsou správcové vědomi, a proto jej ze zprávy automaticky odstraňují. Na co ale zapomněli, je to, že lze spustit JavaScript v tagu odkaz: <a href="Javascript:alert('HELLO WORLD')"> nebo také v tagu pro obrázek: <img src="javascript:alert('HELLO WORLD')"> s tím rozdílem, že kód se v tagu obrázek spustí ihned při načítání zprávy. A jelikož je JavaScript mocný nástroj, dostává se nám do ruky nebezpečná zbraň. Můžeme číst cookies, vytvářet různé hračičky pro kamarády – vypsání chybových či virových hlášek, hýbání s okny, ale také nebezpečnější věci. Nejčastějším případem javascriptového útoku je zobrazení falešné obrazovky o automatickém odhlášení z různých důvodů, obsahující příkaz k opětovnému přihlášení. Pro průměrného programátora není problém napsat pár řádek skriptu, jež by zajišťovaly přepis obrazovky při zachování původního URL a načtení externí části, která zobrazí falešnou logovací stránku. Takovouto zprávu lze pak poslat, nejlépe pod falešnou hlavičkou administrátora serveru se subjektem důležité, na cílovou adresu a dílo je dokonáno.

Jak se chová taková zákeřná zpráva, která zobrazí falešnou přihlašovací stránku, můžete shlédnout zde. Celý příklad je pouze kopie umístěná na jiném serveru, neboť by se mohlo stát, že by některý ze čtenářů zprávu úmyslně smazal. Nenechte se zmýlit – po kliknutí na zprávu se opravdu nejdříve zobrazí daná zpráva obsahující inkriminovaný kód. Díky tomu, že se nekontroluje, odkud je logovací skript spouštěn (proměnná HTTP_REFERER), lze se přihlásit z jakéhokoliv mirroru startovací stránky. Pak už stačí při opětovném zapsání loginu a hesla tyto údaje zapsat do souboru na svém webu a zároveň přihlásit uživatele na POST. A uživatel? Nemá ani tuchy o tom, že právě poslal svůj login a heslo někomu, kdo si v příštích dnech bude číst jeho maily. Jak (s)prosté.

Uživatelé ostatních používaných freemailů (Seznam.cz, Atlas.cz, nebo Centrum.cz) jsou před tímto útokem ochráněni, neboť robot přijímající e-maily nežádoucí znaky odstraňuje. oživeno: Centrum.cz, které mělo stejný problém jako Email.cz a Post.cz v případě zaslání jen HTML verze e-mailu, tento problém také vyřešilo. Kurzívou napsaný původní text není úplně přesný, týkal se zacházení s HTML tagy, i když jde logicky o rozlišování typu zprávy než zacházení s HTML textem. Za nepřesnost se omlouváme.

Uživatelé Post.cz a Email.cz se mohou proti takovémuto zneužití bránit jedině tím, že si budou vybírat své e-maily přes poštovního klienta, nebo v prohlížeči vypnou provádění JavaScriptových kódů. Přesto existuje obrovská spousta lidí (a většinou laikové), která si své e-maily čte pouze přes klasické nechráněné WWW rozhraní. Těm lze doporučit ostražitost při zadávání jména a hesla po klikání na přečtení e-mailu, vhodnější je toto heslo zadávat po kliknutí na nějaký prvek samotného serveru, třeba složky, nastavení a podobně.

Poznámka: Tento článek dostaly oba dva uvedené servery v předstihu, aby mohly zmiňovanou díru opravit. Oba dva opravu přislíbily.

Diskuze (41) Další článek: Hardware pro trochu znalé – díl XI. – monitory

Témata článku: Přihlašovací stránka, Různé důvody, Hella, Freemail, Mirror, Zpráva obsahující, Alert, Přihlašovací obrazovka, Startovací okno, Hello, Login, Bezplatné využívání, Falešná zpráva, Dírka, Obrovská spousta, Český freemail, Hell, Různé znaky


Určitě si přečtěte

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

** Je sice z Aliexpressu, ale funguje ** Můžete ji ovládat hlasem přes Amazon Echo nebo Google Home ** Za tři stovky zautomatizuje menší 230V spotřebič

Jakub Čížek | 109

HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

** Šifrovaný web je dnes už samozřejmost ** Jeden díl skládačky ale ještě chybí – DNS ** Firefox už začal a teď se na šifrované DNS chystá i Chrome

Jakub Čížek | 96

13 praktických tipů a triků pro Mapy.cz, které možná neznáte

13 praktických tipů a triků pro Mapy.cz, které možná neznáte

** Mapy.cz neslouží jen k zobrazení podkladů a plánování tras ** Nabízejí celou řadu dalších praktických funkcí a možností ** Vybrali jsme třináct tipů a triků, o kterých možná nevíte

Karel Kilián | 35

Pojďme programovat elektroniku: Rádiový čip, který má skoro každá bezdrátová myš

Pojďme programovat elektroniku: Rádiový čip, který má skoro každá bezdrátová myš

** Bezdrátové myši řídí čip od Nordic Semiconductors ** Jeho rádiové vysílače si před lety oblíbila i komunita kutilů ** Dnes si je vyzkoušíme v praxi

Jakub Čížek | 9


Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky