Gmail: Nova opcija sa starom ranjivošću
Nova Gmail opcija napravljena je tako da korisničko iskustvo učini dinamičnijim, što je dočekano sa oduševljenjem, sve dok se nije shvatilo da je nova funkcija sa sobom vratila jednu staru ranjivost koju je otkrio bezbednosni ekspert Michal Bentkowski.
Dinamički mejl, ili Accelerated Mobile Pages za e-mail (AMP4Email), stigao je do manje ili više svih korisnika, a Bentkowski je ubrzo objavio da je otkrio ranjivost koju je Google Vulnerability Reward Program prepoznao kao značajno otkriće. Accelerated Mobile Pages (AMP) najavljen je još u oktobru 2015, a dizajniran je kako bi najpre popravio funkcionalnost mobilne mejl aplikacije. Potom je Google u februaru 2018. najavio AMP4Email, koji developerima donosi načine za kreiranje interaktivnog e-mail iskustva, što podrazumeva dinamične sadržaje koji korisnike motivišu da budu više aktivni, kao kada koriste aplikacije na pametnim telefonima. Tako akcije poput popunjavanja upitnika, odgovaranja na pozivnice za događaje, rezervisanja hotelskih soba, pa sve do pretraživanja Pinterest-a, sada mogu da se obavljaju direktno u mejlu. Nevolja je u tome što je sa novim mogućnostima stigla i ona koja omogućava Cross-Site Scripting (XSS) napade u okviru kojih se maliciozne skripte ubacuju u inače bezazlene web-sajtove.
Tako je XSS ranjivost ugrozila dalji siguran razvoj Gmail platforme, budući da je napadačima omogućila da pokreću maliciozne skriptove u okviru aplikacije. Google je ranjivost shvatio kao ozbiljnu, i njeno otkriće opisao kao značajno, pa je greška, kako su objavili iz kompanije, otklonjena 12. oktobra, a Bentkowski je nagrađen sa pet hiljada dolara.
Izvor: Forbes
