พบช่องโหว่บน Yahoo เสี่ยงถูกแฮ็คเกอร์แอบอ่านอีเมล

Jouko Pynnönen นักวิจัยด้านความมั่นคงปลอดภัยจาก Klikki Oy ประเทศฟินแลนด์ ออกมาเปิดเผยถึงช่องโหว่ DOM-based Persistent XSS บน Yahoo Mail ซึ่งช่วยให้แฮ็คเกอร์สามารถแอบดูอีเมลทั้งหมด ผ่านทางการลอบส่งสคริปต์อันตรายไปยังอีเมลของเหยื่อได้

Pynnönen ได้โพสต์รายละเอียดเกี่ยวกับช่องโหว่ดังกล่าวลงบน Blog ของเขา ซึ่งแสดงให้เห็นว่า ช่องโหว่ XSS นี้ช่วยให้แฮ็คเกอร์แอบฝังมัลแวร์เข้าไปยัง Outgoing Email ทุกฉบับผ่านทางการใส่สคริปต์แปลกปลอมลงไปใน Signature ของอีเมลได้ เนื่องจากสคริปต์ถูกใส่อยู่ในเนื้อหาของอีเมลเลย ส่งผลให้เมื่อเหยื่อเปิดอีเมลดังกล่าว สคริปต์จะถูกรันทันที และมัลแวร์ที่อยู่ในนั้นจะทำการดึงข้อมูลอีเมลใน Inbox ของเหยื่อส่งไปยังไซต์ภายนอกของแฮ็คเกอร์

ต้นตอของช่องโหว่นี้เกิดจากการที่ระบบกรองโค้ดแปลกปลอมใน HTML Email ของ Yahoo Mail ทำงานได้ไม่ดีเพียงพอ ทำให้แฮ็คเกอร์มีช่องทางในการส่งสคริปต์แปลกปลอมเข้าไปยังอีเมลได้

“มันเป็นไปได้ที่จะฝัง HTML Attribute จำนวนหนึ่งที่ผ่านระบบกรอง HTML ของ Yahoo เพื่อให้รันการทำงานได้” — Pynnönen ระบุใน Blog ของเขา

Pynnönen ได้แจ้งช่องโหว่นี้ผ่านทาง Bug Bounty Program ของ Yahoo ส่งผลให้เขาได้รับเงินรางวัลสูงถึง $10,000 หรือประมาณ 360,000 บาท และทาง Yahoo ก็ได้ทำการอัปเดตแพทช์บน Yahoo Mail เพื่ออุดช่องโหว่เป็นที่เรียบร้อย

อ่านรายละเอียดเชิงเทคนิคได้ที่: https://klikki.fi/adv/yahoo2.html

ที่มา: http://thehackernews.com/2016/12/hack-yahoo-email.html