Gmail, sicurezza a fasi alterne

Google promette che nel prossimo futuro avvertirà gli utenti Gmail quando le missive ricevute siano transitate su connessioni non cifrate. Ma nel frattempo un bug permette agli utenti Gmail di spacciarsi per chiunque
Google promette che nel prossimo futuro avvertirà gli utenti Gmail quando le missive ricevute siano transitate su connessioni non cifrate. Ma nel frattempo un bug permette agli utenti Gmail di spacciarsi per chiunque

Google afferma di essere impegnata a mettere in campo tutte le misure utili a garantire agli utenti di Gmail di non essere intercettati: per questo da tempo le comunicazioni degli utenti del servizio di posta elettronica di Mountain View scorrono cifrate tra l’utente e i server del servizio e tra i datacenter della Grande G, per questo Google segnalerà agli utenti Gmail le situazioni in cui non potrà garantire la stessa sicurezza.

Gmail e cifratura

Probabilmente complici le rivelazioni del Datagate, sono molte le aziende e i fornitori di servizi che hanno proceduto all’implementazione di soluzioni per la cifratura del traffico, e Google stessa, in uno studio condotto in collaborazione con l’Università del Michigan e l’Università Illinois, riconosce che dal 2013 ad oggi la sicurezza delle comunicazioni email è nettamente migliorata .

Ma circa il 40 per cento delle email ricevute dagli utenti Gmail, inviate con il supporto di altri fornitori di servizi, è ancora non cifrato . È inoltre pressoché impossibile garantire la cifratura in paesi come Tunisia, Iraq, Papua New Guinea, Nepal, Kenya, Uganda e Lesotho, soggetti a pratiche di STARTTLS stripping volte a impedire lo scambio di messaggi cifrati, mentre in paesi come Slovacchia, Romania, Bulgaria, India, Israele, Svizzera, Polonia e Ucraina si sono rivelati comuni i tentativi di intercettare la posta elettronica agendo a livello di server DNS.
Per incoraggiare l’implementazione di soluzioni più sicure, per mostrare la massima trasparenza ai propri utenti Gmail, Google promette che “nei prossimi mesi” segnalerà agli utenti i potenziali pericoli, contrassegnando le email che transitino attraverso connessioni non cifrate .

Ma se Google fa un vanto della sicurezza di Gmail, un bug potenzialmente pericoloso nell’applicazione di Gmail dedicata ad Android è stato apparentemente trascurato da Mountain View.

La ricercatrice di sicurezza Yan Zhu ha osservato che apportare delle modifiche al proprio nome utente di Gmail inserendo opportunamente delle virgolette consente di spacciarsi per chiunque: lo spoofing degli indirizzi email non costituisce certo una novità, ma il bug individuato sembra consentire di inviare email senza innescare i filtri con cui Google individua le comunicazioni provenienti da mittenti non affidabili, garanzie a cui gli utenti sono ormai abituati.

Gaia Bottà

Link copiato negli appunti

Ti potrebbe interessare

16 11 2015
Link copiato negli appunti