Webページを踏むだけでgmailのアドレスが盗まれる脆弱性が発見される

このエントリーをはてなブックマークに追加
1 ミミちゃん(京都府)

Whoa, Google, That’s A Pretty Big Security Hole

Facebook would probably just consider this a feature, but the rest of us will definitely consider this a big security hole.
The creator of http://guntada.blogspot.com (don’t visit that site just yet) emailed us this morning to explain.
If you’re already logged in to any Google account (Gmail, etc.), and visit that site, he’s harvested your Google email.
And proves it by emailing you immediately.
http://tctechcrunch.files.wordpress.com/2010/11/emailms.jpg

And it even works in “incognito” mode (also known as porn mode).

What is the exploit? We don’t know, and Google has yet to respond to us about it. We note that the site doing the
exploiting is on Google’s own blogging platform. One developer we spoke with was confused as well, saying:

i have no idea what this is exploiting but there’s a decent chance it has something to do with Friend Connect and
the way it passes data between iFrames (ie yes, it very well could be opensocial related). whatever is going on it’s an
extremely serious security and privacy violation and i am confident google will address this in moments counted in minutes.

i can’t recall ever having seen anything like this on a major IdP’s website. it’s scary stuff.

If you insist on trying this yourself (hey, I did), the email to you will likely be in your spam filter.

This isn’t a particularly dangerous exploit, but it sure is something a lot of people would love to have on their own sites.
The ability to harvest emails from anyone already signed into Google, not to mention just see exactly who’s visiting
the site, is extremely valuable. See the second comment thread here for a related issue with App Engine a month ago.

Update: The site is now down. Here’s what it looked like:

http://techcrunch.com/2010/11/20/whoa-google-thats-a-pretty-big-security-hole/
2 ゆうさく(京都府):2010/11/21(日) 05:50:19.05 ID:zPNR7b3N0
ヤフーメールの俺が一人がち
3 京急くん(岐阜県):2010/11/21(日) 05:50:44.26 ID:+0EQNQN20
awsome
4 やなな(北海道):2010/11/21(日) 05:53:49.84 ID:hynFCQ/sP
今だってYahooはログインしてる状態で動き回ってるとID見られてしまうでしょ。
同じくmixiもログイン状態で個人サイトなんか見てると足跡つく可能性があるし。
5 りんかる(京都府):2010/11/21(日) 05:53:59.31 ID:wrotek1N0
写真のアドレスのドメインがgoogle.comだけどそういうもんなの?
gmail.comは大丈夫とかじゃないの?そうであって欲しいんだけど
6 ルミ姉(西日本):2010/11/21(日) 05:57:48.33 ID:XuE72OiK0
gmailなんてメインで使ってる情弱はいないだろ
googleに個人情報を渡すなんぞ池沼の極み
7 ミミちゃん(catv?):2010/11/21(日) 05:58:47.17 ID:vLgxKzeDP
こわやこわや
8 ファーファ(愛知県):2010/11/21(日) 05:59:36.03 ID:RtR6zar70
1週間くらい前にgoogleを騙ったフィッシングメールが来てたけどこれをつかった奴だったのね
珍しくスパムフィルターから漏れてたんで疑問に思ってたけど納得した。
9 ユーキャンキャン(関東):2010/11/21(日) 06:00:22.88 ID:rmyeVkC2O
>>4
えーそれほんと?
すごいな
10 あどかちゃん(東京都):2010/11/21(日) 06:00:30.67 ID:B/+cYVpP0
お探しのブログは見つかりませんでした。
あなたがこのブログのオーナーである場合は、ログインしてください。
11 フライング・ドッグ(北海道):2010/11/21(日) 06:00:33.74 ID:KvK9DNWe0
だからあれほどyahooメールにしとけと
12 ピンキーモンキー(東京都):2010/11/21(日) 06:00:35.06 ID:k/sgO3v60
ぜいじゃく、ぜいじゃくゥ
URYYYYYY!!!
13 うまえもん(チベット自治区):2010/11/21(日) 06:00:57.82 ID:RDRlVlpV0
ブラウザでログインしてなければ大丈夫なんじゃないの?
14 かもんちゃん(千葉県):2010/11/21(日) 06:02:18.81 ID:piX5zMSM0
FireSheepとは別?
15 ミミちゃん(長崎県):2010/11/21(日) 06:04:23.16 ID:5QVy1l6vP
gmailって個人情報駄々漏れって昔から言われてるのに
使ってる奴って馬鹿だよな
そのうちお前のメールの内容が検索結果に出てくる羽目になるだろうよ
16 中央くん(チベット自治区):2010/11/21(日) 06:05:19.39 ID:oupyKop10
ログイン状態でGoogleDocsとか共有サービス使うと名前出てくるからな。
ほとんどの奴は 名前@gmail.comだろうし
17 一平くん(静岡県):2010/11/21(日) 06:06:54.71 ID:F48itIuG0
そういやgmailが勝手に解約?みたいになってた時があってそれから使うのやめたわ
youtubeログイン用だけの用途だったから別にどうでもよかったけど
18 りんかる(京都府):2010/11/21(日) 06:07:37.96 ID:wrotek1N0
転送分含めたら11個ひとつの垢で管理してるんだけど全部バレちゃうのかな
怖い
19 テット(東京都):2010/11/21(日) 06:17:50.60 ID:zEknCvf/0
別にフリーメールのアドレスが盗まれるくらいどうでもよくないか?
20 キリンレモンくん(長屋):2010/11/21(日) 07:05:15.52 ID:RP5oxEdn0
ある趣味のページを踏んだらメールが回収されたりすると困るの事もあるかもね
1つのサイトの1人の管理者が収集してフヒヒって言ってる分にはまだしも、
複数サイトで集めて楽天がやってるような行動ターゲッティングに利用されたり。
21 サト子ちゃん(catv?):2010/11/21(日) 07:16:00.01 ID:rSR7Xusl0
gmail便利だけどね色々。メインじゃ使わないが
22 スピーディー(長屋):2010/11/21(日) 07:25:11.64 ID:Y+Thv/+e0
元々ログインしたままうろつけば全部グーグルに駄々漏れだろ
23 おばこ娘(関西・北陸):2010/11/21(日) 07:28:53.04 ID:6mlGz3CqO
捨てアドいっぱい作ったから自分でも把握しきれてないのを盗まれても
24 かもんちゃん(千葉県):2010/11/21(日) 07:35:11.35 ID:piX5zMSM0
クッキーが盗まれるってことじゃなくIDが盗まれるのか?
25 やなな(catv?):2010/11/21(日) 07:38:23.62 ID:I0bFOdkLP
アドレスだけ盗まれるなら問題無いじゃない。
パス取られたりメールの内容公開されたりしたら泣けるけど
26 ポテくん(東京都):2010/11/21(日) 07:42:30.44 ID:MaGlO6OF0
AOL使いのおれは情弱
27 オノデンボーヤ(愛知県):2010/11/21(日) 10:35:40.50 ID:2A4r2FY+0
>>23
ログインしたままページに行って盗まれるなら
たぶん一番よく使うのを盗まれるよ
28 ドナルド・マクドナルド(東京都):2010/11/21(日) 13:30:37.03 ID:w0azcrvA0
うちの学校Gmailベースなんだけど
29 ぼっさん(宮城県):2010/11/21(日) 14:00:41.35 ID:n/J31LSR0
warota
30 カッパ(長屋):2010/11/21(日) 14:02:28.31 ID:176igVRa0
英語読めるくらいで勝ったと思うなよ
31 スーパーはくとくん(神奈川県):2010/11/21(日) 14:03:08.27 ID:ZHT7FQGX0
日本語で
32 エビ男(USA):2010/11/21(日) 14:03:26.81 ID:EpbbVA8T0
>>25

偽ヴァイアグラを買えととか
偽ブランド時計を買えとか
中国さまから英文メールが来てかなり鬱陶しいですよ
33 ポン・デ・ライオンとなかまたち(東京都):2010/11/21(日) 14:05:16.35 ID:MYfA68Ef0
今時のWebブラウザの恐ろしい機能


今コピーしている内容(クリップボードの中身)を勝手に外部に送信
自分の現在地を勝手に外部に送信
34 エコてつくん(大阪府):2010/11/21(日) 16:59:22.40 ID:kWHt+JFJ0
毎回ログアウトすれば良いんじゃね?
35 ピョンちゃん(東京都)
Googleって知らない間にログインしてるからなあ