BIZIT 11 - prvi dan

Gmail: Nova opcija sa starom ranjivošću

Nova Gmail opcija napravljena je tako da korisničko iskustvo učini dinamičnijim, što je dočekano sa oduševljenjem, sve dok se nije shvatilo da je nova funkcija sa sobom vratila jednu staru ranjivost koju je otkrio bezbednosni ekspert Michal Bentkowski.

PCPress.rs Image

Dinamički mejl, ili Accelerated Mobile Pages za e-mail (AMP4Email), stigao je do manje ili više svih korisnika, a Bentkowski je ubrzo objavio da je otkrio ranjivost koju je Google Vulnerability Reward Program prepoznao kao značajno otkriće. Accelerated Mobile Pages (AMP) najavljen je još u oktobru 2015, a dizajniran je kako bi najpre popravio funkcionalnost mobilne mejl aplikacije. Potom je Google u februaru 2018. najavio AMP4Email, koji developerima donosi načine za kreiranje interaktivnog e-mail iskustva, što podrazumeva dinamične sadržaje koji korisnike motivišu da budu više aktivni, kao kada koriste aplikacije na pametnim telefonima. Tako akcije poput popunjavanja upitnika, odgovaranja na pozivnice za događaje, rezervisanja hotelskih soba, pa sve do pretraživanja Pinterest-a, sada mogu da se obavljaju direktno u mejlu. Nevolja je u tome što je sa novim mogućnostima stigla i ona koja omogućava Cross-Site Scripting (XSS) napade u okviru kojih se maliciozne skripte ubacuju u inače bezazlene web-sajtove.

Pročitajte i:  Meta AI model koji može da obrađuje slike 

PCPress.rs Image

Tako je XSS ranjivost ugrozila dalji siguran razvoj Gmail platforme, budući da je napadačima omogućila da pokreću maliciozne skriptove u okviru aplikacije. Google je ranjivost shvatio kao ozbiljnu, i njeno otkriće opisao kao značajno, pa je greška, kako su objavili iz kompanije, otklonjena 12. oktobra, a Bentkowski je nagrađen sa pet hiljada dolara.

Izvor: Forbes

Facebook komentari:
Računari i Galaksija
Tagovi: , , , ,