Contrairement au cas QuickTime, Petkov se montre toutefois plus discret avec Gmail, ne divulguant que peu d'informations sur sa trouvaille mais il a cependant pris soin de faire " certifier " sa preuve de concept (non divulguée publiquement) par un journaliste de ZDNet qui a confirmé ses dires. La publication de quelques bribes d'explications et diverses captures d'écran sur gnucitizen.org en disent cependant long sur les risques potentiels encourus par les utilisateurs.
La vulnérabilité expose les utilisateurs de Gmail à une attaque dite de type Cross-site request forgery ( CSRF ) consistant typiquement à utiliser un site tiers spécialement conçu, pour mener une action sur un site de confiance où l'internaute s'est connecté avec ses droits d'utilisateur. En l'occurrence, avec sa POC, Petkov démontre comment un utilisateur connecté à Gmail peut se faire subtiliser ses mails à son insu.
Faille critique pour Gmail
Sa session Gmail ouverte, la victime se rend en parallèle sur un site Web malicieux qui via une requête POST en multipart/form-data sur l'une des interfaces de Gmail ( API ), insère un filtre dans son compte utilisateur, avec pour mission de transférer les mails reçus vers une nouvelle adresse où le pirate n'aura plus qu'à se servir. Une porte dérobée en somme qui peut facilement être supprimée par l'utilisateur à condition qu'il vérifie, voire connaisse l'existence et le maniement des filtres. Plus inquiétant, Petkov a certes prévenu Google de l'existence de ladite vulnérabilité mais finalement, son comblement n'aura pas pour effet de supprimer cette backdoor, si d'aventure un utilisateur a déjà été pris au piège (aucun rapport d'exploitation pour le moment). Evidemment, en attendant la réaction de Google, un palliatif peu pratique semble tout trouvé avec la déconnexion de Gmail dès lors que la visite d'un autre site est nécessaire.
Jugeant cette vulnérabilité très dangereuse, Petkov en appelle au sérieux de ses congénères en leurs demandant de pas la révéler s'ils venaient eux aussi à la découvrir avant que Google ne l'ait corrigée. La firme de Mountain View risque toutefois d'avoir beaucoup de pain sur la planche car, loi des séries ou pas, plusieurs autres de ses services en ligne sont également dans la tourmente sécuritaire avec la récente publication d'un exploit touchant Picasa (logiciel permettant de partager ses photos en ligne), la découverte d'une faille affectant Google Search Appliance (recherche de documents en entreprise) ou encore la fonctionnalité de vote de Blogspot (faille corrigée).
Google qui tente actuellement de séduire les entreprises avec sa solution Google Apps n'avait vraiment pas besoin de cette publicité, d'autant que son concurrent sur le segment, Microsoft, ne manque pas une occasion de le discréditer en rappelant à quel point ses services encore en version bêta sont perfectibles en termes de sécurité. Par ailleurs, cela montre à quel point la maîtrise de la technologie AJAX notamment, va donner du fil à retordre aux développeurs Web à ce niveau.
MàJ : La faille découverte dans Gmail par Petkov a été corrigée par Google. Ce dernier en a reçu confirmation le 28 septembre.
