Gmail, la posta elettronica col buco
Topic
Approfondimenti
Trending
tutti

Gmail, la posta elettronica col buco

La webmail di Mountain View presterebbe il fianco agli spammer permettendo l'invio di posta elettronica (indesiderata) agli utenti che visitino un sito appositamente progettato
Sicurezza Antivirus
La webmail di Mountain View presterebbe il fianco agli spammer permettendo l'invio di posta elettronica (indesiderata) agli utenti che visitino un sito appositamente progettato

La versione iniziale dell’articolo riferiva che il problema individuato riguardasse Google App Engine. In realtà il problema era relativo all’API per gli script di Google Apps.

Roma – Questa volta tocca a Gmail cadere vittima di una grave falla nella protezione della privacy dell’utente da parte di Google. Costruendo una pagina web apposita, uno spammer potrebbe facilmente spedire in giro per la rete posta indesiderata e questo senza nemmeno conoscere la mailbox della potenziale vittima .

Il baco è stato scovato da Vahe G., ragazzo armeno di 21 anni che aveva deciso di mostrare l’effetto pratico del problema servendosi della piattaforma di blogging di (Blogger). L’utente non doveva far altro che visitare l’URL essendo contemporaneamente loggato a un qualunque servizio di Google, a quel punto il codice nascosto nell’URL avrebbe sfruttato i cookie di autenticazione al succitato servizio per inviare direttamente una mail con oggetto e contenuto a piacimento.

L’exploit aveva la capacità di funzionare anche nella modalità di navigazione anonima – che normalmente non fornisce accesso ai cookie salvati in locale – e le email così spedite risultavano perfettamente camuffate avendo come mittente l’indirizzo standard “noreply@google.com”.

Google ha risposto a questa nuova minaccia della privacy degli utenti in maniera tempestiva, chiudendo il blog su Blogger e correggendo il baco presente nella API Apps Script della piattaforma Apps. Ma apparentemente c’è stata una mancanza di comunicazione tra Vahe G. e il Googleplex: il ragazzo sostiene di aver provato a contattare direttamente Mountain View, e di essere solo in un secondo momento passato alla dimostrazione pratica su Blogger visto il silenzio di Google sulla questione.

“Prendiamo molto sul serio i potenziali problemi di sicurezza”, ha risposto Google, prova ne sia la rimozione del blog “dimostrativo” e la correzione del baco su Google Apps che ha rimesso a posto le cose . E per quanto riguarda la comunicazione di bachi e falle di sicurezza, Google “incoraggia la divulgazione responsabile di potenziali problemi alla sicurezza delle applicazioni all’indirizzo security@google.com”.

Alfonso Maruccia

Pubblicato il 24 nov 2010

Link copiato negli appunti

Ti potrebbe interessare

Google: contro i federali, per la nuvola

Google: contro i federali, per la nuvola
Google, cacciatori di bachi cercasi

Google, cacciatori di bachi cercasi
Android, 3 candeline col buco

Android, 3 candeline col buco
In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%

In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%
Google: contro i federali, per la nuvola

Google: contro i federali, per la nuvola
Google, cacciatori di bachi cercasi

Google, cacciatori di bachi cercasi
Android, 3 candeline col buco

Android, 3 candeline col buco
In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%

In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%
Alfonso Maruccia
Pubblicato il
24 nov 2010
Link copiato negli appunti