G-Archiver wysyłał hasła użytkowników do twórcy programu

Serwis Coding Horror opublikował informacje o tym, że program do archiwizacji poczty gmail o nazwie g-archiver oprócz spełniania swojej funkcji miał również “zaszyte” w programie polecenie do wysyłania haseł i loginów użytkowników na adres skrzynki pocztowej autora programu (Johna Terry).

Login i hasło konta GMail, na które wysyłane były dane użytkowników zostały zahardkodowane w programie. Nie wiadomo czy odpowiedzialny jest za to autor i czy to faktycznie jego skrzynka. Sprawa jest w toku.

Oczywiście użytkowników programu zachęcamy do szybkiej zmiany hasła GMail.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

16 odpowiedzi na „G-Archiver wysyłał hasła użytkowników do twórcy programu”
  1. Awatar matiit
    matiit

    😐
    "zahardkorowany"?
    Co do treści… dlatego wole Open Source 🙂

    1. Awatar barteq
      barteq

      " Coding Horror został o powyższym fakcie poinformowany przez jednego z czytelników który przejrzał kod programu i znalazł funkcję wysyłającą hasła i loginy na na sztywno wpisaną nazwę skrzynki pocztowej (hasło również było zaszyte w programie). " – co znaczy mniej lub więcej, że źródło programu JEST otwarte…

      Zadaj sobie teraz pytanie – czy TY przeglądałeś kiedyś kod źródłowy programów, których używasz? Chyba nie.. Wierzymy twórcom.. W przypadku zamkniętego softu sprawa jest jasna – nie dowiemy się co jest w środku. Tutaj mamy źródła na tacy i co? Dopiero po długim czasie ktoś znalazł backdoora, który został wpisany w kod programu czystym tekstem już zapewne daaawno temu. Ciekawe co znajdziemy w trochę bardzie popularnych programach.. Chyba czas zacząć szukać…

      1. Awatar krzychoocpp
        krzychoocpp

        Z tego co widzę to ten program jest zamknięty, użyto dekompilatora (.NET Reflector) – jednak wysyłanie loginów i haseł wykryć jest dość łatwo nawet bez analizy kodu.

        Ale z drugiej strony… po co archiwizować pocztę z GMaila ?! Tam jest 6GB! Jeśli ktoś potrzebuje więcej, zwykle używa już czegoś innego niż GMail.

      2. Awatar gryziwons
        gryziwons

        Znaczy "mniej", ponieważ program został poddany dekompilacji, a wynik takiego procesu chyba nie podlega definicji "otwartego źródła".
        Natomiast zgadzam się z drugą tezą, że niewiele osób przegląda kody źródłowe.

      3. Awatar MDobak
        MDobak

        Zazwyczaj nie trzeba dekompilować programu, a otworzyć go edytorem heksadecymalnymi lub zwykłym notatnikiem lub podobnym programem aby odczytać wartość zmiennych wpisanych "a stałe". Tak jest szybciej. ie wiem, czy tak było w przypadku tego programu.

        1. Awatar bla
          bla

          Ale ukrycie stałej byś jej tak nie znalazł jest banalne.

          Każda osoba nie przegląda kodu – to pewne. Ale jeśli jest OS to na pewno przegląda go więcej osób i ktoś coś może znaleźć i dać znać innym. A tak? (Ktoś wie czemu skype przegląda przy starcie profil firefoxa?)

  2. Awatar sawyer
    sawyer

    0_0 kurczę nieeźle. Oj jeżeli sprawa się potwierdzi, to chyba nie ujdzie mu to na sucho…

  3. Awatar Maciupeq
    Maciupeq

    no cóż popularność zawsze niosła zagrożenie.

  4. Awatar Witek
    Witek

    Pisze się "sztywno zakodowane". To kolejny powód na nieufność zamkniętych programów. A już napewno z jakichś dziwnych źródeł.

  5. Awatar mario
    mario

    Autor tego programu to co najmniej niedoświadczony amator, aby wysłać maila protokołem SMTP nie potrzeba hasła, a on jak największy idiota zaszył hasło do skrzynki w programie. Co do samego czynu jaki popełnił powiem krótko: nie dość, że amator to w dodatku cham.

    1. Awatar Marcin "Ktos&qu
      Marcin "Ktos&qu

      W dzisiejszych czasach potrzeba. Słowo-klucz: SMTP-Auth.

      Serwery SMTP bez mechanizmów autoryzacji powoli giną, i całe szczęście, bo były głównymi źródłami spamu.

  6. Awatar jeronimmo
    jeronimmo

    Ja ZAWSZE przeglądam źródła programów open source, których używam. Zawsze 😛

    1. Awatar bts
      bts

      Uau, zakładająć, że używasz linuksa, to przy kernelu musiałeś mieć trochę roboty…

      1. Awatar trasz
        trasz

        Firefoksa tez pewnie uzywa. I OOo 😉

    2. Awatar MDW
      MDW

      Rety, stary… współczuję. 🙂 Ty to się musisz naanalizować kodu jak coś chcesz użyć. Przechlapane. No weź tu analizuj całego Blendera, MESA czy GIMPa. Normalnie współczuję. Serio. 🙂

  7. Awatar bla
    bla

    Cytat ze strony g-archiver:
    It has come to our attention that a flaw in the coding of G-Archiver may have revealed customer's Gmail account usernames and passwords.

    It is urgent that you remove the current version of G-Archiver from your computer, and change your Gmail account password right away.

    What happened was that a member of our development team had inserted coding used for testing G-Archiver in the debug version and forgot to delete it in the final release version.

    We sincerely apologize and assure you that this coding mishap was in no way intentional.

    We'll be releasing a new version that corrects the flaw in version 1.0. The new version will be available very soon.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *