Strzeż się pogaduszek…

Korzystanie z najpopularniejszego polskiego komunikatora nie jest bezpieczne! W Gadu-Gadu roi się od błędów, które mogą pozwolić włamywaczom przejąć kontrolę nad naszym komputerem

Gadu-Gadu jest przykładem programu, który osiągnął ostateczny etap rozwoju. Do takiego przynajmniej wniosku można dojść, śledząc jego dzieje. Od dawna nie pojawiła się bowiem nowa wersja tej aplikacji. Nie, żeby nic nie można było w Gadu-Gadu dodać – siłą tego komunikatora zawsze była prostota i zbyt wiele nowych funkcji mogłoby programowi zaszkodzić. Twórca GG nie osiada na laurach – nie tak dawno pojawiły się wersje dla komórek i edycja w formie apletu. Jednak o najpopularniejszym polskim komunikatorze w grudniu było głośno całkiem z innego powodu.

Szwajcarski rodowód?

W połowie grudnia w serwisie SecurityFocus opublikowano informację o błędach znalezionych w Gadu-Gadu. Jej autorzy – Błażej Miga i Jarosław Sajko – przytaczają aż siedem (!) sytuacji, w których możliwe jest zdalne uruchomienie kodu na komputerze internauty. Pierwszy dotyczy błędnego przetwarzania otrzymanych wiadomości w celu wyszukania odsyłaczy. Realne jest wstawienie fragmentu HTML-a, który spowoduje pobranie i uruchomienie pliku wykonywalnego. Druga usterka wiązała się z korzystaniem z proxy. Administrator takiego serwera lub inny włamywacz korzystający z ataku man-in-the-middle mógł wysłać dane powodujące wykonanie złośliwego kodu. Następny błąd ma mniejsze konsekwencje, umożliwia bowiem odczytanie dowolnego pliku z maszyny ofiary.

Trzy kolejne potknięcia Gadu-Gadu znaleziono w funkcjach dotyczących przesyłania obrazków. Odpowiednio spreparowana ilustracja może doprowadzić do uruchomienia dowolnego kodu. Co więcej – istnieje błąd w odczycie pliku konfiguracyjnego, który sprawia, że jeśli wyłączymy obsługę grafik, nadal można przesłać ilustrację o wielkości do 100 bajtów. To wystarczy, by się włamać. Wreszcie ostatnia usterka – wirusa lub trojana można sprytnie przekazać także podczas przesyłania pliku między użytkownikami.

Bać albo nie bać się…

Czy opisane błędy stwarzają realne zagrożenie? Ich odkrywcy nie opublikowali kodu prezentującego niebezpieczeństwa, by nie ułatwiać pracy hakerom. Powiadomili za to autora Gadu-Gadu, który – jak twierdzi – poprawił usterki. A ponieważ komunikator ma funkcję automatycznego pobierania uaktualnień, wydaje się, że użytkownicy tej aplikacji są bezpieczni – o ile pozwolili aplikacji zainstalować poprawki.

Z drugiej strony około tygodnia po opublikowaniu informacji o błędach tajemnicza osoba wysyłała przez bramkę GG-WWW wiadomość, której odczytanie groziło instalacją w systemie trojana. Niepokojący jest także fakt, że Błażej Miga i Jarosław Sajko domniemają, iż jeden ze znalezionych przez nich błędów to pluskwa odkryta już we wrześniu i nadal obecna w Gadu-Gadu! Nam pozostaje mieć tylko nadzieję, że autorzy programu weźmą sobie do serca wydarzenia z grudnia.

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.