Roma – A metà settimana Google ha corretto un insidioso bachetto che si celava nel proprio servizio di posta elettronica Gmail. Scoperto quasi per caso da due programmatori Unix della community HBX Networks, la vulnerabilità poteva consentire ad un utente del servizio di accedere, seppure in modo non arbitrario, alle informazioni di altri utenti.
Durante il test di un nuovo script in Perl per la gestione di una mailing-list, i due sviluppatori si sono accorti che, inviando una e-mail con un indirizzo non correttamente formattato, il server di posta di Gmail aggiungeva al messaggio porzioni di e-mail scritte da altri utenti. Sebbene l’utente non avesse alcun controllo sul modo di operare del server, e fosse dunque incapace di selezionare la fonte delle informazioni a cui accedere, la vulnerabilità poteva essere utilizzata per raccogliere – con pazienza e tanta fortuna – password e altri dati personali.
In questa pagina i programmatori di HBX spiegano che la vulnerabilità del server di Google era innescata dall’omissione, nel campo “From:” di una e-mail, del carattere “>” che delimita l’indirizzo. Di conseguenza, il server introduceva nel campo “Reply-To” porzioni di codice HTML appartenenti all’ultima e-mail processata dal server: queste potevano contenere informazioni del tutto innocue (seppur private), o dati particolarmente sensibili. E’ opportuno ricordare, a tal proposito, come la legge tuteli il contenuto delle e-mail proprio come quello della posta tradizionale.
Google afferma di aver corretto il bug nella giornata di mercoledì, a meno di 24 ore di distanza dalla prima segnalazione. Dato che il problema si trovava sul server, il noto portale ha sottolineato come il fix funzioni già per tutti gli utenti di Gmail.
Ti potrebbe interessare
14 gen 2005