Akun Gmail dibiarkan terbuka untuk diserang pada jaringan nirkabel karena kelemahan dalam cara Google menangani koneksi SSL, klaim seorang peneliti keamanan.
Gmail mampu menggunakan enkripsi SSL, jika pengguna menempatkan HTTPS sebelum URL, yang melindungi data dari penyadapan.
Pendekatannya sangat aman, tetapi jika koneksi SSL gagal, Gmail akan kembali mengirimkan data yang tidak terenkripsi.
Kegagalan seperti itu dapat dengan mudah dipicu oleh peretas dengan mengirimkan paket reset ke PC korban. Hal ini memungkinkan mereka untuk mengambil ID sesi yang tidak terenkripsi, yang dapat digunakan untuk menyamar sebagai korban, dan mendapatkan akses ke akun mereka.
Robert Graham, CEO Errata Security, baru-baru ini menerbitkan a postingan blog pada tekniknya, disebut “side jacking”.
Peneliti telah mengembangkan dua alat, Ferret dan Hamster, yang mengotomatiskan peretasan side-jacking.
“Ini juga menimbulkan pertanyaan mengapa saya mendistribusikan ini jika itu adalah alat peretasan. Jawabannya adalah: karena mereka menunjukkan masalahnya. Orang-orang tidak akan percaya bahwa ada suatu masalah kecuali mereka dapat melihatnya sendiri,” kata Graham.
Kerentanan seperti ini bukanlah hal baru, dan serangan serupa telah didemonstrasikan secara luas pada konferensi peretasan DefCon tahun lalu. Namun, ancaman keamanan terbaru di Gmail ini berarti bahwa banyak pengguna yang merasa aman sebenarnya rentan terhadap serangan.
Google tidak dapat memberikan komentar pada saat penulisan.
