W skrypcie obsługującym reklamy sieci Gadu-Gadu został znaleziony błąd, który może być wykorzystany do przeprowadzenia ataku na użytkowników tego komunikatora.
Jak się okazuje, pobierane przez HTTP reklamy Flash mogą zawierać elementy sterujące ich zachowaniem. W tym momencie system emisyjny reklam może wyświetlić reklamę przekierowującą użytkownika do dowolnej witryny. Dzieje się tak z powodu braku filtrowania parametru clikTag. Jeżeli atakujący otrzyma poprawny identyfikator reklamy, może spróbować nakłonić użytkownika do kliknięcia w link, który wyśle mu pocztą. Prościej mówiąc, użytkownik otrzyma mailem link rozpoczynający się od zaufanego dla użytkowników adresu internetowego
http://adserver.gadu-gadu.pl/new/Images/11985?clickTag=, gdzie po znaku równości znajdzie się adres strony, do której użytkownik zostanie przekierowany. Oczywiście adres ten może zostać dodatkowo zakodowany dla uśpienia uwagi ofiary.
Strona taka może przypominać wyglądem serwis webowy Gadu-Gadu. W momencie przeniesienia ofiary na tą stronę, napastnik może spróbować wyciągnąć od danej osoby jego login i hasło. Scenariuszy takiego ataku jest wiele i zależą tylko od fantazji napastnika.
Gadu-Gadu zostało już powiadomione o problemie.
Źródło:
heise-online
