G-Archiver wysyłał hasła użytkowników do twórcy programu
- Dodano: 10 March 2008
- Wprowadził: michuk
- Komentarze: 16
Serwis Coding Horror opublikował informacje o tym, że program do archiwizacji poczty gmail o nazwie g-archiver oprócz spełniania swojej funkcji miał również “zaszyte” w programie polecenie do wysyłania haseł i loginów użytkowników na adres skrzynki pocztowej autora programu (Johna Terry).
Login i hasło konta GMail, na które wysyłane były dane użytkowników zostały zahardkodowane w programie. Nie wiadomo czy odpowiedzialny jest za to autor i czy to faktycznie jego skrzynka. Sprawa jest w toku.
Oczywiście użytkowników programu zachęcamy do szybkiej zmiany hasła GMail.
Więcej informacji: http://antyweb.pl/g-archiver-wysylal-has...-programu/
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
16 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
"zahardkorowany"?
Co do treści… dlatego wole Open Source
" Coding Horror został o powyższym fakcie poinformowany przez jednego z czytelników który przejrzał kod programu i znalazł funkcję wysyłającą hasła i loginy na na sztywno wpisaną nazwę skrzynki pocztowej (hasło również było zaszyte w programie). " – co znaczy mniej lub więcej, że źródło programu JEST otwarte…
Zadaj sobie teraz pytanie – czy TY przeglądałeś kiedyś kod źródłowy programów, których używasz? Chyba nie.. Wierzymy twórcom.. W przypadku zamkniętego softu sprawa jest jasna – nie dowiemy się co jest w środku. Tutaj mamy źródła na tacy i co? Dopiero po długim czasie ktoś znalazł backdoora, który został wpisany w kod programu czystym tekstem już zapewne daaawno temu. Ciekawe co znajdziemy w trochę bardzie popularnych programach.. Chyba czas zacząć szukać…
Z tego co widzę to ten program jest zamknięty, użyto dekompilatora (.NET Reflector) – jednak wysyłanie loginów i haseł wykryć jest dość łatwo nawet bez analizy kodu.
Ale z drugiej strony… po co archiwizować pocztę z GMaila ?! Tam jest 6GB! Jeśli ktoś potrzebuje więcej, zwykle używa już czegoś innego niż GMail.
Znaczy "mniej", ponieważ program został poddany dekompilacji, a wynik takiego procesu chyba nie podlega definicji "otwartego źródła".
Natomiast zgadzam się z drugą tezą, że niewiele osób przegląda kody źródłowe.
Zazwyczaj nie trzeba dekompilować programu, a otworzyć go edytorem heksadecymalnymi lub zwykłym notatnikiem lub podobnym programem aby odczytać wartość zmiennych wpisanych "a stałe". Tak jest szybciej. ie wiem, czy tak było w przypadku tego programu.
Ale ukrycie stałej byś jej tak nie znalazł jest banalne.
Każda osoba nie przegląda kodu – to pewne. Ale jeśli jest OS to na pewno przegląda go więcej osób i ktoś coś może znaleźć i dać znać innym. A tak? (Ktoś wie czemu skype przegląda przy starcie profil firefoxa?)
0_0 kurczę nieeźle. Oj jeżeli sprawa się potwierdzi, to chyba nie ujdzie mu to na sucho…
no cóż popularność zawsze niosła zagrożenie.
Pisze się "sztywno zakodowane". To kolejny powód na nieufność zamkniętych programów. A już napewno z jakichś dziwnych źródeł.
Autor tego programu to co najmniej niedoświadczony amator, aby wysłać maila protokołem SMTP nie potrzeba hasła, a on jak największy idiota zaszył hasło do skrzynki w programie. Co do samego czynu jaki popełnił powiem krótko: nie dość, że amator to w dodatku cham.
W dzisiejszych czasach potrzeba. Słowo-klucz: SMTP-Auth.
Serwery SMTP bez mechanizmów autoryzacji powoli giną, i całe szczęście, bo były głównymi źródłami spamu.
Ja ZAWSZE przeglądam źródła programów open source, których używam. Zawsze
Uau, zakładająć, że używasz linuksa, to przy kernelu musiałeś mieć trochę roboty…
Firefoksa tez pewnie uzywa. I OOo
Rety, stary… współczuję.
Ty to się musisz naanalizować kodu jak coś chcesz użyć. Przechlapane. No weź tu analizuj całego Blendera, MESA czy GIMPa. Normalnie współczuję. Serio. 
Cytat ze strony g-archiver:
It has come to our attention that a flaw in the coding of G-Archiver may have revealed customer's Gmail account usernames and passwords.
It is urgent that you remove the current version of G-Archiver from your computer, and change your Gmail account password right away.
What happened was that a member of our development team had inserted coding used for testing G-Archiver in the debug version and forgot to delete it in the final release version.
We sincerely apologize and assure you that this coding mishap was in no way intentional.
We'll be releasing a new version that corrects the flaw in version 1.0. The new version will be available very soon.