هکرها نامه‌های شما را در یاهو می‌خوانند

یاهو یک آسیب‌پذیری جدی را در سرویس ایمیل خود را وصله کرد که به مهاجم اجازه می‌داد در صندوق ورودی کاربران یاهو جاسوسی کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک محقق امنیتی در ایمیل یاهو یک آسیب‌پذیری XSS1 مبتنی‌بر DOM را گزارش دارد. اگر این آسیب‌پذیری مورد بهره‌برداری قرار گیرد، مهاجم می‌تواند ایمیلی حاوی کد مخرب ارسال کند.

در یک پستی که در وبلاگ این محقق منتشر شد، او نشان داد چگونه یک مهاجم می‌تواند صندوق ورودی یک قربانی را به یک وب‌سایت خارجی ارسال کند. وی همچنین یک بدافزار ایجاد کرد که به ایمیل‌های ارسالی به‌وسیله‌ افزودن اسکریپت مخرب به امضای ایمیل، ضمیمه می‌شود. 

به‌دلیل اینکه کد مخرب در بدنه‌ اصلی پیام قرار دارد به‌محض اینکه قربانی ایمیل آلوده را باز کند، اسکریپت مخفی در بار داده اجرا شده و محتوای صندوق ورودی قربانی به سمت یک وب‌سایت خارجی که تحت کنترل مهاجم است، ارسال خواهدکرد. 

این اشکال از آنجا ناشی می‌شود که سرویس یاهو در مسدود کردن کد مخرب در ایمیل‌های HTML دچار شکست می‌شود. این محقق توضیح داد که ویژگی‌های HTML متعددی را می‌توان در ایمیل تعبیه کرد و این محتوا می‌تواند از پالاینده‌ HTML یاهو به‌راحتی عبور کرده و کاربر را هدف قرار دهد.

این محقق امنیتی تمامی تگ‌ها و ویژگی‌های HTML را به پالاینده‌ HTML یاهو وارد کرده تا عملکرد آن نسبت به کد مخرب را بررسی کند ولی مشاهده کرد که برخی از کدهای مخرب می‌توانند این پالاینده را دور بزنند. 

وی گفت: «در یک اثبات مفهومی من امنیت یاهو را با یک ایمیل مورد بررسی قرار دادم. این ایمیل به‌محض باز شدن از یک کد AJAX برای خواندن محتوای صندوق ورودی قربانی استفاده کرده و آن را به سمت کارگزار مهاجم ارسال می‌کند.»

این محقق فنلاندی به‌طور خصوصی این آسیب‌پذیری را تحت برنامه‌ پاداش در ازای اشکال به HackerOne گزارش داد و ۱۰ هزار دلار جایزه دریافت کرد. وی اوایل امسال نیز یک آسیب‌پذیری مشابه در سرویس مبتنی‌بر وب ایمیل یاهو را گزارش داده و ۱۰هزار دلار جایزه گرفته بود. وی آذرماه سال گذشته نیز یک آسیب‌پذیری XSS در فلیکر را به یاهو گزارش داده و ۵۰۰ دلار پاداش دریافت کرده‌بود.