Gmail a rischio hijacking

Un noto bug hunter diffonde alcune anticipazioni su un metodo per rubare la posta agli account della webmail di Google. Per mettersi nei guai basta un clic sul sito sbagliato

Roma – Ferve l’attività di Petko pdp Petkov, ormai celebre esperto di sicurezza informatica: dopo aver svelato una falla nel formato PDF e una di Windows XP , questa volta è toccato a Gmail, il servizio di posta elettronica gratuita offerto da Google . Mediante un banale codice inserito in un sito, Petkov sostiene di essere in grado di guadagnare l’accesso ad una casella di posta e duplicarne il contenuto su un server remoto.

Per il momento non sono stati diffusi i dettagli sulla vulnerabilità. Una sommaria descrizione del suo funzionamento è stata tuttavia fatta sulle pagine di ZDNet : la vittima sarebbe un comune navigatore, che surfa la rete mentre è già connesso all’interfaccia web di Gmail. Visitando un sito, grazie ad una tecnica nota come cross-site request forgery ( XSRF ), al suo browser possono venire impartite delle istruzioni per realizzare un filtro nella casella di posta .

Una schermata di Gmail Tutte le email indirizzate ad un particolare destinatario, o magari quelle contenenti un allegato, vengono indicizzate da questo filtro: tra le varie funzioni di quest’ultimo, può anche esserci quella di inoltrare la posta ad un indirizzo specificato . In questo modo l’attaccante otterrebbe copia conforme di tutta la corrispondenza della vittima, almeno fino a quando il malcapitato non rimuova il filtro incriminato.

Non si tratta neppure di una idea originale. Un buco molto simile era stato scoperto a gennaio , e aveva causato non pochi grattacapi ai tecnici di BigG.

Un periodaccio per gli esperti Google, che a quanto pare devono fronteggiare qualche problemino residuo su Google Groups , un buggetto che riguarda i sistemi di indicizzazione venduti alle aziende, e anche un’incertezza nel celebre applicativo per la gestione delle immagini Picasa .

“Google prende molto sul serio le questioni di sicurezza, e risolveremo rapidamente tutti i problemi identificabili” ha dichiarato a The Register un portavoce di BigG. Ma la sfida appare improba: “Anche spendendo centinaia di milioni di dollari, non riusciranno mai a mettersi totalmente al sicuro” spiega Robert Hansen, CEO di secTheory . In effetti i sistemi sono pur sempre gestiti da esseri umani , fallibili per natura come chiunque altro: e i vari modelli di sviluppo web 2.0, spesso focalizzati sul funzionamento incrociato e contestuale di soluzioni diverse da fonti e piattaforme diverse, di certo non aiutano .

Luca Annunziata

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti