2min

Tags in dit artikel

, , , ,

Uit onvrede over de beveiliging van Google Mail, kortweg Gmail, heeft reverse-engineer Mike Perry een tool ontwikkeld die automatisch ID’s van onveilige Gmail-sessies steelt.

De informatie kan vervolgens gebruikt worden om op de betreffende Google Mail-accounts in te breken. Perry probeert hiermee te waarschuwen voor de gevaren van niet-veilige sessies zoals bij Gmail volgens hem het geval is.

Afgelopen week introduceerde Google nog een nieuwe functie in Gmail die het mogelijk moet maken om permanente SSL-beveiliging in te schakelen, dus niet alleen voor het inloggen maar voor elke actie. Gebruikers die hier geen gebruik van maken hebben volgens Hungry Hackers een goede reden om dat alsnog te doen, want over ongeveer twee weken wil Perry de tool vrij gaan geven.

Wanneer een gebruiker inlogt op de Gmail-website wordt er een zogenaamde cookie naar de browser verstuurd. Deze bevat het sessie-ID en wordt door Gmail gebruikt om te controleren of je een geautoriseerde gebruiker bent en zorgt ervoor dat je gedurende twee weken, tenzij je handmatig uitlogt, ingelogd blijft.

De standaardwerking van Gmail is zodanig dat alleen bij het inloggen een beveiligde sessie gebruikt wordt. Eenmaal ingelogd echter is deze sessie niet meer van toepassing en verloopt de communicatie tussen browser en website over een onbeveiligde verbinding. Volgens Google is deze werkwijze verkozen boven een volledig beveiligde verbinding vanwege gebruikers die een lage bandbreedte tot hun beschikking hebben. SSL is dan namelijk trager.

Het eigenlijke probleem bestaat daaruit dat telkens als er communicatie, bijvoorbeeld het openen van een afbeelding van Gmail, tussen browser en de Gmail-website plaatsvindt, deze cookie met sessie-ID opnieuw wordt verzonden. Dit maakt het voor kwaadwillenden die netwerkverkeer onderscheppen mogelijk om een afbeelding afkomstig van Gmail in te voegen en zo de browser te dwingen de cookie, met het sessie-ID, te verzenden.

Als de kwaadwillende het sessie-ID in bezit heeft kan hij of zij op Gmail inloggen zonder een wachtwoord in te voeren. Gmail denkt doordat de cookie aanwezig is namelijk dat het om een geautoriseerde gebruiker gaat, maar in werkelijkheid is dat natuurlijk niet het geval. Uiteraard maakt het wel een verschil of men een beveiligd of open netwerk gebruikt, want bij een beveiligd netwerk kan dataverkeer in theorie niet gemakkelijk afgeluisterd worden.

Perry geeft aan dat hij meer dan een jaar geleden Google al op de hoogte gesteld heeft van deze situatie en hoewel ze nu de SSL-optie aanbieden is hij nog steeds niet helemaal tevreden. Hij is niet blij met het gebrek aan informatie van Google. "Google heeft niet uitgelegd waarom het gebruik van deze nieuwe functie zo belangrijk is", stelt hij. "Dit geeft mensen die routine-matig in Gmail inloggen middels een https-url een vals gevoel van veiligheid, omdat ze denken dat ze veilig zijn, maar dat absoluut niet zijn."