Serwis Coding Horror opublikował informacje o tym, że program do archiwizacji poczty gmail o nazwie g-archiver oprócz spełniania swojej funkcji miał również “zaszyte” w programie polecenie do wysyłania haseł i loginów użytkowników na adres skrzynki pocztowej autora programu (Johna Terry).
Coding Horror został o powyższym fakcie poinformowany przez jednego z czytelników który przejrzał kod programu i znalazł funkcję wysyłającą hasła i loginy na na sztywno wpisaną nazwę skrzynki pocztowej (hasło również było zaszyte w programie). Czytelnik sprawdził tą skrzynkę i okazało się, że zawiera ona ponad 1,700 maili z danym użytkowników programu g-archiver, przerażony zablokował skrzynkę a o całym fakcie poinformował Coding Horror.
Trudno jest arbitralnie stwierdzić jak tego typu kod znalazł się w programie g-archiver – czy stworzył go autor programu czy też został gdzieś “po drodze” dodany.
Historia ta jest ciągle żywa w komentarzach na Coding Horror (164 komentarze oraz 173 blog reactions).
G-archiver to również przykład na to jak bardzo trzeba być ostrożnym w korzystaniu z programów i serwisów w których podajemy dane dotyczące dostępu do jakichkolwiek naszych zasobów w internecie.
Oczywiście jeśli ktoś z was jest użytkownikiem tego feralnego programu polecam jego szybką deinstalacje i zmianę hasła w gmail na nowe (przy okazji warto sprawdzić wszelkie ustawienia naszej poczty takie jak forward itp).
Witaj, nazywam się Grzegorz Marczak i jestem autorem tego bloga. Piszę tutaj o serwisach społecznościowych, nowych technologiach i nowych trendach w internecie.
Pomijając że warto zmieniać hasło dla higieny co pewien czas ;)
@fanatyk
Jestem ciekaw ile osób rzeczywiście to robi… :)
A ja jestem ciekaw, co na liście kontaktów tego Terry’ego robi polskie nazwisko. Czyżby ktoś zostawił po sobie ślad? ;)
Dlatego korzystam z OS(Open Source). Podana w artykule rada mnie nie dotyczy. A tak przy okazji, podobne praktyki (szpiegowanie użytkowników, niezależne czy oficjalnie wiedzących o tym, czy po tajemnemu) jest normalnością. Złośliwe oprogramowanie otacza nas dziś ze wszech stron, bo ludzie nie zdają sobie z tego sprawy.
Być może jednak w tym wypadku wiadomość okaże się nieprawdą, ale to i tak nie zmienia mojej wypowiedzi.
Kurcze, kilka razy zdarzało mi się podawać login i hasło do googla, szczególnie we wtyczkach do firefoxa (gspace, gmail manager itp.). Cholera wie czy ktoś teraz nie przegląda mojej poczty, hehe.
tja, ciekawe jeszcze jakie dane zbiera google :)
echelon na całego. nie sądze by to był przypadek…
Niezłe. Ale po sprawie z facebox.com (teraz netlog.com) jestem nieco mniej ufny przy podawaniu takich rzeczy.
po jakiego diabła w kodzie było zaszyte hasło do tej skrzynki, to nie ma sensu i trąci ściemą
@witek
Po takiego, żeby program sam logował się na gmaila i tam zapisywał info
PS. zobacz nazwę tematu “me” temat taki nadaje się gdy np. wysyłasz sobie pliki z gmail drive’a na poczte
@Sławek
>Dlatego korzystam z OS(Open Source).
W/w. program jest typu OS. Jak przeczytasz artykuł ze zrozumieniem, zobaczysz, że jakiś użytkownik programu odczytał źródła i natrafił na ślad tego typu wykonywanych operacji.
Druga sprawa. Jak często czytasz źródła programów O.S. ? I nie mówie tu o programie typu
using namespace std;
{
int main()
cout << “Hello World”;
}
Tylko o prawdziwych “kobyłach”.
Przewagą O.S. jest to, że każdy może zajrzeć w źródła, jednak nie każdy to robi (przyklad w newsie). Społeczność O.S. opiera sie na zaufaniu, a jak widać jest to złudne.
Swoją drogą autor tego programu był albo był szaleńcem, albo geniuszem.
Szaleńcem, ze zrobił wszystko na sztywno i geniuszem, ze zrobił wszystko na sztywno. Wykorzystał najprostszą metodę ataku – zaufanie i naiwnośc ludzi. K. Mitnick postępował podobnie, tyle tylko, że lepiej się maskował ;)
@ olek
Z tego co jest napisane na Coding Horror, g-archiver nie jest OS. Użytkownik, który odkrył ową funkcję, zdekompilował program:
“It didn’t really have the functionality I was looking for, but being a programmer myself I used Reflector to take a peek at the source code”
Nie ma to jak bezpieczny Gmail ;/