زاهد نیوز - هکرها، ایمیل های یاهو را به سرقت می برند

زاهدانه:یک محقق امنیتی اظهار داشت: مهاجمان می توانند پست های الکترونیکی و سایر اطلاعات خصوصی را از روی حساب کاربری کاربرانی که یک صفحه مخرب را مشاهده می کنند، بخوانند. به گزارش زاهدانه به نقل از پایگاه خبری امنیت فناوری اطلاعات، مهاجمان این کار را با سوء استفاده از یک ویژگی در وب سایت شبکه توسعه دهنده یاهو انجام می دهند. در کنفرانس امنیتی DefCamp در بخارست پایتخت رومانی یک نسخه محدود شده از این حمله توسط یک فرد رومانیایی به نام Sergiu Dragos Bogdan نشان داده شد. در این کنفرانس، این محقق نشان داد که چگونه کنسول YQL مبتنی بر وب که بر روی وب سایت developer. yahoo .com در دسترس است، می تواند توسط مهاجمان مورد سوء استفاده قرار بگیرد تا دستورات YQL از طرف کاربران احزار هویت شده یاهو که وب سایت های مخرب را مشاهده کرده اند، اجرا شود. YQL یک زبان برنامه نویسی شبیه به SQL است که توسط یاهو ایجاد شده است. این برنامه می تواند برای جستجو، فیلتر کردن و ترکیب داده های ذخیره شده در پایگاه داده ها مورد استفاده قرار بگیرد. کاربران احراز هویت نشده یاهو تنها می توانند جستجوهای عمومی مانند گرفتن اطلاعات از Yahoo Answers، Yahoo Weather و سایر خدمات را انجام دهند. با این حال اگر این کاربران وارد حساب کاربری خود شوند می توانند به جداول حاوی داده های حساب کاربری خود مانند پست های الکترونیکی و اطلاعات خصوصی پروفایل دسترسی داشته باشند. هنگامی که یک جستجو در فیلد "YQL statement" وارد می شود و دکمه "******" فشرده می شود، یک کد احراز هویت خاص برای نشست کاربر با نام "crumb" همراه با درخواست ارائه می شود. زمانی که کاربر صفحه کنسول YQL را مشاهده می کند، کد crumb تولید شده و به طور خودکار به درخواست ها اضافه می شود. در طول ارائه این حمله، Bogdan یک صفحه حمله PoC را که یک آدرس developer.yahoo.com خاص را در یک iframe بارگزاری کرد، نشان داد. هنگامی که این صفحه توسط یک کاربر احراز هویت شده مشاهده شود، iframe کد crumb کاربر مذکور را بر می گرداند. در حمله PoC، Bogdan برای تغییر وضعیت پروفایل یاهو کاربر در پایگاه داده یاهو از یک دستور YQL استفاده کرد. او معتقد است برای انجام این کار از روش های دیگری نیز می توان استفاده نمود. به منظور خواندن پست های الکترونیکی، مهاجم نیاز دارد تا تکنیک دیگری را استفاده نماید تا بتواند داده های کاربر را به سرور خود منتقل کند. این محقق گفت: تمام حمله می تواند کاملا به طور خودکار با استفاده از یک آسیب پذیری افشاء نشده که در وب سایت developer.yahoo.com قرار دارد، انجام گیرد. از آن جا که این حمله از مسائل امنیتی متعددی سوء استفاده می کند و از روش های مختلفی برای اجرای آن استفاده می شود، Bogdan آن را "blended threat" می نامد. یاهو تاکنون به این حمله ارائه شده و راه حل های موجود برای مقابله با آن پاسخی نداده است.