В «АНБ-непроницаемом» сервисе электронной почты обнаружена XSS-уязвимость

image

Теги: уязвимость, XSS, электронная почта

Брешь позволяла атакующему осуществить XSS-атаку и внедрить код JavaScript в браузер жертвы.

ИБ-эксперт из Германии Томас Рот (Thomas Roth) обнаружил уязвимость в сервисе электронной почты Tutanota, который позиционирует себя как «АНБ-непроницаемый». Брешь позволяла атакующему осуществить XSS-атаку и внедрить код JavaScript в браузер жертвы. Ранее такая же уязвимость была обнаружена Ротом в сервисе ProtonMail.

Шифрование и расшифровка сообщений в Tutanota так же, как и в ProtonMail, осуществляются в браузере, и ключи шифрования хранятся у пользователей, а не у провайдеров. Сервис Tutanota подтвердил наличие XSS-уязвимости и исправил ее.

«При пересылке сообщений существовала возможность провести атаку межсайтового скриптинга. Сейчас проблема уже устранена, - говорится в уведомлении Tutanota. – Атака осуществлялась следующим образом: при пересылке письма код встраивался в тело сообщения. Теоретически это позволяло атакующему манипулировать им, отправляя письмо на адрес в Tutanota. Далее он мог обманом заставить жертву переслать сообщение, после чего у злоумышленника появлялась возможность выполнить код JavaScript в контексте web-приложения».

На прошлой неделе, еще до того, как Рот сообщил об уязвимости, представители Tutanota заявили изданию The Register, что провели тестирование, в ходе которого была осуществлена XSS-атака. Тем не менее, тестирование не помогло обнаружить проблему.

«Атака межсайтового скриптинга была предотвращена с помощью преобразователя данных, который фильтрует встроенные скрипты в электронных письмах, пересылаемых через Tutanota. Этот преобразователь активен с момента запуска сервиса. В ходе тестирования атака была осуществлена, однако уязвимость обнаружить не удалось», - заявили представители Tutanota.

Как бы то ни было, Рот обнаружил брешь всего лишь через минуту с момента начала исследования. Уязвимость была исправлена экспертами Tutanota в тот же день, когда исследователь сообщил о ней. 


comments powered by Disqus