Roma – Nelle scorse ore Google è stata costretta a correggere in tutta fretta una vistosa debolezza nel suo neonato servizio Base . La vulnerabilità, di tipo cross-site scripting, poteva consentire ad un aggressore di sottrarre agli utenti cookies e altre informazioni sensibili.
Come spiegato la scorsa settimana da Jim Ley, lo sviluppatore inglese che ha portato alla luce il problema, la falla di Google Base si prestava ad essere utilizzata in attacchi di phishing capaci di visualizzare form fraudolente al di sopra di un sito noto.
Nel suo blog Ley ha criticato Google per aver messo Base, che è un servizio ancora in beta testing, sullo stesso dominio di Gmail: così facendo “le falle cross-site scripting di Google Base – ha affermato lo sviluppatore – possono consentire l’accesso a tutti i messaggi di posta elettronica di Gmail”.
Sebbene, come si è detto, Google Base si trovi ancora in fase di beta testing, il servizio è già pubblico e aperto a tutti: esso permette agli iscritti di pubblicare informazioni di vario tipo, come news, eventi, vignette e descrizioni di oggetti da vendere o affittare, e renderle immediatamente visibili a tutti gli utenti del celebre motore di ricerca. Google Base viene considerato dagli analisti un temibile avversario di servizi come eBay e CraigsList.
Ieri il ricercatore di sicurezza H.D. Moore ha rivelato l’esistenza di alcuni problemi di sicurezza nella Google Mini Search Appliance: nei casi più gravi tali falle potrebbero consentire ad un aggressore di eseguire da remoto degli script maligni.
Ti potrebbe interessare
22 nov 2005