Sårbar bakdør i Yahoo Mail

Sårbarheten lar skurkene gjette et ubegrenset antall ganger på passord, uten sperrer. Dermed åpnes det for såkalte brute force attack, der det rett og slett gjettes på ulike varianter systematisk helt til man treffer jackpot.

Sårbarheten viser seg å ligge i en webapplikasjon som automatiserer innloggingsprosessen, ifølge Ryan Barnett, forskningssjef hos Breach Security.

Sensor fant bakdør

De siste ukene har en sensor installert av Web Application Security Consortium lest av flere tusen innloggingsforsøk mot webapplikasjonen og dens tekstbaserte API for Yahoo-innlogging. Ettersom systemet kun ser angrepene på en eneste av mange proxyer, tror Barnett det kun er snakk om toppen av isfjellet.

Selve webapplikasjonen utgjør tilsynelatende en bakdør som via sitt API gir Yahoos samarbeidspartnere sine brukere adgang til Yahoo-eposten sin uten å forlate partnerens nettsted.

Yahoos normale innloggingssider bruker Captcha-autentisering i sikkerhetsøyemed, men det gjør ikke denne partnersiden. Dermed er det enklere å automatisere angrep.

Pratsom tilbakemelding

Den begrenser heller ikke feedbacken. Mens en lur tilbakemelding ville vært ”du har feil brukernavn eller passord”, konkluderer feilmeldingen her bare med at passordet er feil eller at brukernavnet er feil. Dermed får skurkene verifisert brukernavnet i stedet for å gjette i blinde på både brukernavn og passord på likt.

Barnett, som blogger om problemet, sier det har eksistert i minst to år. Han sa fra til Yahoo om problemet i 2007, men fredag forrige uke var fortsatt sårbarheten der, hevder han overfor The Register.

Yahoo hevder de undersøker saken.