Брешь в безопасности Opera Mini
Бродя по просторам всемирной паутины в поисках чего-нибудь интересного наткнулся на сообщение товарища с псевдонимом Yason:
Открыв недавно в Опере Мини главную гугла, я с удивлением обнаружил, что уже авторизован в нём. Странным это было по двум причинам:
- Аккаунт был чужой.
- Коммуникатором никто, кроме меня, не пользовался.
Мгновенно забыв что собирался искать, я нажал на Gmail… и увидел чужую почту.
Судя по заголовкам писем, ящик принадлежал кому-то из Сербии. Среди прочего, там были сообщения о восстановлении паролей от YouTube и скайпа. Написав об проблеме владельцу аккаунта с его собственного ящика, я задумался: как такое вообще могло случиться?
Первое (и пока единственное) что приходит в голову — на время сессии куки гугла сохраняются на сервере, через который работает мобильный браузер. Если не выйти из системы явно, куки остаются в наследство тому, кто следующим зайдёт на гугл. По идее, не исключено и одновременное использование аккаунта несколькими пользователями.
Поиск вывел на свежий топик форума поддержки Оперы Мини. Там сообщается об аналогичной проблеме, только с более невинными проявлениями — отображение чужих результатов недавнего поиска, использование чужих настроек. Самое интересное — это что Опера утверждает, что это не является проблемой безопасности:
Opera have looked at my problems and suggest it’s not a security issue.
Мораль истории — пока лучше воздержаться от использования Opera Mini для важных сервисов. Да, и по завершении работы полезно будет нажать “Sign Out”.
P.S. Спасибо разработчикам GMail, которые для смены пароля требуют ввести текущий; иначе любой случайный посетитель мог бы увести чужой аккуант. Но даже и не имея возможности сменить пароль к почте, злоумышленник может “увести” все аккаунты зарегистрированные на этот адрес.
P.P.S. Технические подробности для интересующихся. Использовался WM6 девайс, и Opera Mini hifi ardentopium 4.0.10222 20080207 (официальная, насколько я помню). Внизу страницы гугла было написано: “Last account activity was 11 hours ago from (сербский IP)”.
Я достаточно часто пользуюсь мобильной оперой, поэтому данный вопрос взволновал меня (стал судорожно вспоминать, где я мог оставить кукисы). Как выяснилось – практически нигде. Для почты я использую встроенный клиент, IM – тоже отдельно. Опера мини используется у меня только для простого серфинга. В общем для себя я особой угрозы не узрел и продолжу спокойно и неторопливо пользоваться норвежским браузером в спокойном и неторопливом белорусском мобильном интернете.
вроде опера не финский браузер)
хе, а вообще стоит задуматься о безопасности в мобильном инете
На мобилке всегда боялся свои пароли вбивать на важных сайтах.. А вебмани ставить вообще наверное опасно.
А я своей опере доверяю) юзаю мод-устраивает на все сто. Пока никто(тьфу тьфу)не ломал
[...] были некоторые прецеденты с Opera Mini, что заставляет [...]
[...] были некоторые прецеденты с Opera Mini, что заставляет [...]