Petko Petkow z grupy hakerskiej GNUCitizen zaprojektował koncept programu, którego celem jest kradzież kontaktów oraz wiadomości przychodzących na skrzynki pocztowe usługi pocztowej Google Gmail – podaje magazyn ZDNet.

„Aplikacja może być wykorzystana do przekazywania nadchodzącej poczty” - opowiada Chris Gatford z firmy Pure Hacking.

Gatford wyjaśnia, iż atakujący może włamać się na konto Gmaila wykorzystując do tego celu atak typu cross-site scripting (XSS) – wystarczy aby ofiara była zalogowana na swoim koncie i kliknęła w odpowiedni odnośnik. Od tej pory atakujący może przejąć sesję cookies z Gmaila, otrzymując wszystkie listy no podane przez siebie konto POP.

Problem jest dość poważny, gdyż ciasteczka Google'a przechowywane są na komputerze przez dwa lata.

„Gdy tylko uda się skraść ciasteczko, można mieć dostęp do konta ofiary bez hasła przez następne dwa lata” - opisuje Gatford.

Jednym z wyjść jest korzystanie z Gmaila poprzez przeglądarkę Firefox z wyłączoną obsługą Javascriptu.