Pakistanilainen hakkeri Ahmed Mehtab on saanut palkinnon Googlen Vulnerability Reward Program -haavoittuvuusohjelmasta. Mehtab paljasti kikan, jolla periaatteessa minkä tahansa Gmail-tilin pystyi kaappaamaan.

Googlen sähköpostin käyttäjä pystyy linkittämään useampia omistamiaan tilejä siten, että yhdeltä tililtä voi hallita toista tiliä. Esimerkiksi x@gmail.com- ja y@gmail.com-tilien omistaja voisi vastata sähköpostiin kummalta tililtä tahansa. Viestejä voi myös edelleenvälittää tilien välillä.

Mehtab havaitsi, että Google-tilin pystyy ottamaan hallintaansa järjestelmän käyttämällä autentikointikoodilla. Tämä on mahdollista, jos vastaanottajan tilin smtp ei ole saatavilla; jos tili on poistettu käytöstä; jos vastaanottajaa ei ole olemassa; tai jos vastaanottaja on blokannut lähettäjän ja estänyt viestien lähettämisen itselleen.

Hyväksikäyttämällä virheilmoituksen mukana tulevaa autentikointinumerosarjaa vastaanottajan tilin pystyy liittämään omaan tiliinsä.

Myös tietoturvafirma Security Fusen omistajana toimiva Mehtab havainnollistaa menetelmää YouTube-videolla. Videolla näkyy, kuinka hän ottaa haltuunsa google@gmail.com- sekä gmail@googlemail.com-osoitteet.

Menetelmä toimi estetyissä, kielletyissä ja keksityissä tileissä. Mehtabin mukaan samaa menetelmää käyttäen on kuitenkin periaatteessa mahdollista ottaa haltuun kenen tahansa olemassa olevankin käyttäjän tili, kunhan hyökkääjä vain onnistuu toteuttamaan yhden edellä mainituista ennakkovaatimuksista, kuten estämään viestien lähettämisen tietystä ulkopuolisesta osoitteesta.

Google on sittemmin paikannut haavoittuvuuden. Paljastus oli niin suuri, että Mehtab tiettävästi nostettiin sen ansiosta bugiohjelman ”Hall of Fame” -kunniasijoille, kertoo ProPakistani.pk.