Yahoo telah menambal kerentanan keamanan penting pada aplikasi Mail-nya yang bisa memungkinkan seorang penyerang untuk memata-matai inbox setiap pengguna Yahoo dimanapun berada di dunia. Jouko Pynnönen, seorang peneliti keamanan asal Finlandia dari perusahaan keamanan Klikki Oy, melaporkan DOM berdasarkan persisten XSS (Cross-Site Scripting) di Yahoo mail, yang jika dieksploitasi, memungkinkan penyerang untuk mengirim email tertanam dengan kode berbahaya.


Dalam posting blog-nya yang diterbitkan beberapa waktu lalu, peneliti menunjukkan bagaimana penyerang berbahaya bisa mengirim ke situs eksternal dan menciptakan virus yang melekat ke semua email keluar dengan menambahkan secara terselubung berupa script berbahaya untuk tanda tangan pesan. Karena kode berbahaya dalam tubuh pesan, kode tersebut akan dijalankan segera setelah korban membuka email boobytrapped dan script tersembunyi akan segera mungkin mengirimkan konten inbox korban ke situs web eksternal yang dikendalikan oleh penyerang. Menurutnya, Yahoo Mail gagal menyaring kode yang mempunyai potensi berbahaya dalam email HTML.

"Ini menjadi mungkin untuk menanamkan sejumlah atribut HTML yang melewati penyaringan HTML Yahoo dan diperlakukan khusus," kata Pynnönen dalam posting blog-nya.

Pynnönen mengatakan ia menemukan kerentanan pada semua tag HTML dan atribut untuk filter yang digunakan oleh Yahoo untuk menyingkirkan HTML berbahaya, akan tetapi kode HTML berbahaya justru berhasil melewatinya dengan mudah. "Sebagai bukti dari konsep saya diberikan kepada Yahoo Security  dengan email yang bila dilihat akan menggunakan AJAX untuk membaca isi inbox pengguna dan mengirimkannya ke server penyerang," kata Pynnönen.

Dengan temuannya tersebut, Pynnönen berhasil menguak kerentanan yang terdapat pada Yahoo Mail dan melalui program HackerOne bug bounty program, ia berhak mendapatkan $ 10.000. Pynnönen melaporkan kerentanan yang sama dalam versi web dari layanan Yahoo! Mail awal tahun ini dimana ia menghasilkan $ 10.000. Dia juga melaporkan kerentanan XSS di Flickr ke Yahoo pada bulan Desember 2015.
 
Top