Google, i suggerimenti fanno la spia

Vulnerabilità in Google Web History e nel protocollo con cui vengono inviati anche i dati di autenticazione della pagina di ricerca scovate da uno studio francese

Roma – Una ricerca mette in evidenza i rischi tesi nei confronti della privacy da parte della personalizzazione dei servizi offerti dai browser e dalla ricerca online: gli studiosi sono riusciti ad accedere ai suggerimenti di ricerca personalizzati offerti da Google e ad altri dati da cui sono partiti per ricostruire la cronologia delle ricerche di un utente. E ottenere molte informazioni sul suo conto.

Per raggranellare i dati hanno sfruttato una falla nel sistema di cifratura di Google: utilizza due differenti protocolli per comunicare con i browser degli utenti, uno protetto per dati sensibili e password ( https ), l’altro – quello utilizzato anche per le ricerche – è invece l’ordinario http che veicola le informazioni in chiaro.

Il problema è che in chiaro verrebbero inviati anche i dati di accesso e di autenticazione dell’utente di alcuni servizi come Web History (attraverso cui un netizen può accedere all’intera cronologia delle sue ricerche effettuate nel momento abbia avuto accesso al proprio account Google) e la stessa homepage di ricerca.

I ricercatori hanno dunque avuto accesso ai tracciati di navigazione degli utenti utilizzando semplicemente il servizio Cronologia Web, in cui anche i cookie sono inviati in chiaro, oppure intercettando i cookie di autenticazione inviati nell’accedere al proprio Google account nella pagina di ricerca e impersonando l’utente nell’effettuare alcune ricerche in modo da dedurre quelle effettuate in passato attraverso l’analisi dei suggerimenti che gli vengono offerti dal motore di ricerca. Metodi simili erano già stati utilizzati da EFF per dimostrare l’emergere di possibili minacce alla privacy dei netizen.

Anche se Google afferma di aver corretto i bug che permettevano l’attacco , i ricercatori affermano che vi sarebbero altre vulnerabilità simili. Sussistono, per esempio, le medesime falle nella versione mobile del servizio di ricerca: i ricercatori continuano così a monitorare i servizi Google.

“Scopo del progetto era mostrare che i servizi di personalizzazione sono molto pericolosi per la privacy” ha detto Claude Castelluccia, uno dei ricercatori protagonisti dello studio.
Il lavoro sarà presentato quest’estate al Privacy Enhancing Technologies Symposium di Berlino.

Claudio Tamburrino

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Shiba scrive:
    Par condicio
    http://www.ossblog.it/post/6118/microsoft-abbraccia-woff-prima-di-googleNiente intenzioni trollose, soltanto una news (una volta tanto) ben accetta.
  • lukker scrive:
    Internet Explorer 8
    Un pò di tempio fa, Genova, la città dove abito io, è stata invasa da cartelloni che reclamizzavano IE8 come browser più sicuro...... non continuo perchè la cosa si commenta da sola
    • ErPablito scrive:
      Re: Internet Explorer 8
      Se giri nelle metro di Londra .... Pubblicità di IE8,WIN7,MSN ne trovi a quintalate ...
    • panda rossa scrive:
      Re: Internet Explorer 8
      - Scritto da: lukker
      Un pò di tempio fa, Genova, la città dove abito
      io, è stata invasa da cartelloni che
      reclamizzavano IE8 come browser più sicuro......
      non continuo perchè la cosa si commenta da
      solaSi tratta di una campagna pubblicitaria per risollevare l'umore dei cittadini in questo periodo di crisi.Tu leggi, ti fai una sganasciante risata, e la giornata comincia bene.
      • ErPablito scrive:
        Re: Internet Explorer 8
        Tieni presente, che la sganascita vera e propria la puoi fare nelle aziende in cui lo standard aziendale è ancora IE6.Almeno IE8 (anche se rispetta neanche il 30% degli standard ACID3) ti permette di fare dei lavori carini senza fare giri della XXXXXXX ....
  • LuciferSam_86 scrive:
    Software invulnerabile
    Beh... Se esistesse software invulnerabile non saremo qui... :)
    • Carattere non permesso scrive:
      Re: Software invulnerabile
      - Scritto da: LuciferSam_86
      Beh... Se esistesse software invulnerabile non
      saremo qui...
      :)Anche se non esistessero gli errori ortografici non "saremo" qui.
    • collione scrive:
      Re: Software invulnerabile
      ti brucia che il tanto decantato ie8 sia bacato pure lui? aspettiamo con ansia un exploit di vasta portata per l'invulnerabile windows settete :D
      • LuciferSam_86 scrive:
        Re: Software invulnerabile
        Diciamo che un buon 99%, si può riassumere in PEBCAK :DCerto se ci sono bachi sulla sicurezza, questi aiutano parecchio :)
    • Vai a ciapaa i rat scrive:
      Re: Software invulnerabile
      - Scritto da: LuciferSam_86
      Beh... Se esistesse software invulnerabile non
      saremo qui...Ok, ma IE (qualunque IE) è da sempre un colapasta, quello che dicono i markettari m$ non può cambiare lo stato delle cose.
  • Carattere non permesso scrive:
    Ma non era sicuro?
    Ma non era sicuro? :(Ma allora come mai alla Microsoft dicevano che era sicuro? (anonimo)Ma allora come mai qui su PI alcuni dicevano che era sicuro? :'(Possibile che si siano sbagliati ? (ghost)
    • carlo2002 scrive:
      Re: Ma non era sicuro?
      Ci deve essere stato un errore, è IMPOSSIBILE che si siano sbagliati :D
      • Fragy scrive:
        Re: Ma non era sicuro?
        - Scritto da: carlo2002
        Ci deve essere stato un errore, è IMPOSSIBILE che
        si siano sbagliati
        :DNon c'è stato nessun errore. Semplicemente mancavano due paroline che sono andate perdute durante la digitazione del documento :-) capita. IE8 è (1) sicuro (2)sostituisci con (1) = un e (2) = bidone e avrai la versione corretta-----------------------------------------------------------Modificato dall' autore il 21 aprile 2010 20.38----------------------------------------------------------------------------------------------------------------------Modificato dall' autore il 21 aprile 2010 20.38-----------------------------------------------------------
    • Funz scrive:
      Re: Ma non era sicuro?
      - Scritto da: Carattere non permesso
      Ma non era sicuro? :(

      Ma allora come mai alla Microsoft dicevano che
      era sicuro?
      (anonimo)

      Ma allora come mai qui su PI alcuni dicevano che
      era sicuro?
      :'(

      Possibile che si siano sbagliati ? (ghost)E' come l'infallibilità del papa (dogma della chiesa).
  • Palmipedone scrive:
    beh almeno
    hanno levato i google adwords..fino a poco tempo fa cercando su google il nome di un qualsiasi browser diverso da IE, appariva una pubblicità di MS che recitava all'incirca"perchè scegliere un altro browser? scarica IE8, il browser più sicuro!"(rotfl)
    • Carattere non permesso scrive:
      Re: beh almeno
      - Scritto da: Palmipedone
      hanno levato i google adwords..

      fino a poco tempo fa cercando su google il nome
      di un qualsiasi browser diverso da IE, appariva
      una pubblicità di MS che recitava
      all'incirca
      "perchè scegliere un altro browser? scarica IE8,
      il browser più
      sicuro!"Intendi dire che non sarebbe il browser più sicuro? :DMa come? Microsoft dice che si tratta di quello più sicuro. ;)Ma non staranno mica mentendo? :
      • panda rossa scrive:
        Re: beh almeno
        - Scritto da: Carattere non permesso
        - Scritto da: Palmipedone

        hanno levato i google adwords..



        fino a poco tempo fa cercando su google il nome

        di un qualsiasi browser diverso da IE, appariva

        una pubblicità di MS che recitava

        all'incirca

        "perchè scegliere un altro browser? scarica IE8,

        il browser più

        sicuro!"

        Intendi dire che non sarebbe il browser più
        sicuro?
        :D

        Ma come? Microsoft dice che si tratta di quello
        più sicuro.
        ;)

        Ma non staranno mica mentendo? :Ma no, come puoi pensare una cosa del genere.Stanno solo cercando di applicare il loro standard.Per M$ "sicuro" significa "sicuro che ti bucano".C'e' una richiesta all'ISO in questo senso per cercare di adeguare il significato di "sicuro" allo standard M$.
    • Funz scrive:
      Re: beh almeno
      - Scritto da: Palmipedone
      hanno levato i google adwords..

      fino a poco tempo fa cercando su google il nome
      di un qualsiasi browser diverso da IE, appariva
      una pubblicità di MS che recitava
      all'incirca
      "perchè scegliere un altro browser? scarica IE8,
      il browser più
      sicuro!"Mai vista una sola pubblicità di MS, da almeno 6-7 anni.
      • Shiba scrive:
        Re: beh almeno
        - Scritto da: Funz
        - Scritto da: Palmipedone

        hanno levato i google adwords..



        fino a poco tempo fa cercando su google il nome

        di un qualsiasi browser diverso da IE, appariva

        una pubblicità di MS che recitava

        all'incirca

        "perchè scegliere un altro browser? scarica IE8,

        il browser più

        sicuro!"

        Mai vista una sola pubblicità di MS, da almeno
        6-7
        anni.Allora devi assolutamente vedere questa perché esilarante :Dhttp://shiba89.files.wordpress.com/2010/03/la-repubblica-it-homepage-google-chrome_001.pngPer chi non ricorda più il faro:http://shiba89.files.wordpress.com/2010/03/4-5-communicator.png
        • Palmipedone scrive:
          Re: beh almeno

          - Scritto da: Funz



          Mai vista una sola pubblicità di MS, da almeno

          6-7

          anni.funz non sai cosa ti sei perso allora!!ricordate quelle dei dinosauri di office?http://images.friendster.com/promos/msdino/MSOProfile_img.jpghttp://overheard.loveneverfails.ca/blog/wp-content/uploads/2006/05/evolve.jpgquelle in italiano erano spassosissime! :Dpoi c'erano appunto quelle di adwords, eccolehttp://punto-informatico.it/b.aspx?i=2823797&m=2823891#p2823891poi la campagna get the facts, addirittura la facevano anche sulle riviste (cartacee) del mondo linux!!! LOL
Chiudi i commenti