Acum cateva saptamani am descoperit o problema majora la Yahoo Mail (versiunea veche). Se pare ca serviciul nu e chiar sigur si se poate executa JavaScript in emailurile citite. Evident, pornind de la asta, poti ajunge departe.

In mana unui spammer, acest trick ar putea avea efecte extraordinare: redirect fara permisiune – iti citesti linistit emailul, vezi ce mai e prin Bulk si cand intri sa vezi cu ce te mai bombardeaza spammerii, esti automat redirectionat pe cine stie ce site(vanzari de licente, medicamente, droguri, sex pills sau poti ajunge chiar intr-un site plin de virusi).

Mai mult, o fotografie interesanta poate genera un chain letter – codul se trimite si este executat prin Forward. Ce poate face un spammer din acest “eveniment”? Well, poate afla multe multe adrese email valide, fara ca cei care dau forward sa afle vreodata ce i-a lovit: nu apare nimic pe ecran cand se fura adresa.

Si acum partea cea mai interesanta: am reusit intr-un final sa intru in alte conturi, in urma unui cod javascript executat fara voie in browserul celui care citeste emailul. Un chain letter pus bine la punct poate genera nu numai adrese valide email, ci si conturile in sine.

Prin urmare, orice email primit poate fi un “phishing email”, iar tu nu vei sti niciodata. Poate veni de la prietenul/prietena/sotia/mama/copilul/you name it. Nici macar el(cel care a trimis, fara sa vrea, mai departe “viermele”) nu va sti cand si cine te-a lovit.

Solutia imediata: am renuntat la Yahoo Mail pe loc.
Solutia pe termen mediu: se pare ca noul Yahoo Mail Beta nu este vulnerabil la acest exploit, asa ca eu am trecut imediat pe el. Te-as sfatui si pe tine sa faci cererea si sa il folosesti, daca vrei sa continui sa folosesti Yahoo Mail. Altfel, esti pe cont propriu .

Ce e si mai interesant, este ca am descoperit acest exploit acum doua saptamani cred, cei de la Yahoo au fost sesizati, insa problema nu a fost rezolvata nici pana in acest moment. Sper sa o rezolve pana nu e prea tarziu.

Nu dau mai multe detalii despre cum functioneaza din motive evidente: am scris acest post pentru a te avertiza, nu doresc ca exploit-ul sa fie implementat de cine nu trebuie.