ZDNet Japan Blog - グーグリングGoogle:「Gmail」の脆弱性、「Defcon」で暴露される
クッキー盗難からセッションハイジャックまでのデモをGmailを使ってデモしたそうです。
Robert Graham氏が「Defcon」で行ったGmailのセッションハイジャック攻撃のデモンストレーションでは、攻撃者がネットワークトラフィックを盗聴し、クッキーを盗むことで、ユーザーアカウントが乗っ取られる可能性が示された。デモでは、George Ou氏がハイジャック用に作成した電子メールアドレスが利用されたが、乗っ取られるまではあっという間だった。攻撃者はクリックして進めていくインターフェースから同アカウントにアクセスし、メッセージを送って、わずか数秒で乗っ取りを成功させたのである。