Luca Annunziata

Gmail a rischio hijacking

Un noto bug hunter diffonde alcune anticipazioni su un metodo per rubare la posta agli account della webmail di Google. Per mettersi nei guai basta un clic sul sito sbagliato

Roma - Ferve l'attività di Petko pdp Petkov, ormai celebre esperto di sicurezza informatica: dopo aver svelato una falla nel formato PDF e una di Windows XP, questa volta è toccato a Gmail, il servizio di posta elettronica gratuita offerto da Google. Mediante un banale codice inserito in un sito, Petkov sostiene di essere in grado di guadagnare l'accesso ad una casella di posta e duplicarne il contenuto su un server remoto.

Per il momento non sono stati diffusi i dettagli sulla vulnerabilità. Una sommaria descrizione del suo funzionamento è stata tuttavia fatta sulle pagine di ZDNet: la vittima sarebbe un comune navigatore, che surfa la rete mentre è già connesso all'interfaccia web di Gmail. Visitando un sito, grazie ad una tecnica nota come cross-site request forgery (XSRF), al suo browser possono venire impartite delle istruzioni per realizzare un filtro nella casella di posta.

Una schermata di GmailTutte le email indirizzate ad un particolare destinatario, o magari quelle contenenti un allegato, vengono indicizzate da questo filtro: tra le varie funzioni di quest'ultimo, può anche esserci quella di inoltrare la posta ad un indirizzo specificato. In questo modo l'attaccante otterrebbe copia conforme di tutta la corrispondenza della vittima, almeno fino a quando il malcapitato non rimuova il filtro incriminato.
Non si tratta neppure di una idea originale. Un buco molto simile era stato scoperto a gennaio, e aveva causato non pochi grattacapi ai tecnici di BigG.

Un periodaccio per gli esperti Google, che a quanto pare devono fronteggiare qualche problemino residuo su Google Groups, un buggetto che riguarda i sistemi di indicizzazione venduti alle aziende, e anche un'incertezza nel celebre applicativo per la gestione delle immagini Picasa.

"Google prende molto sul serio le questioni di sicurezza, e risolveremo rapidamente tutti i problemi identificabili" ha dichiarato a The Register un portavoce di BigG. Ma la sfida appare improba: "Anche spendendo centinaia di milioni di dollari, non riusciranno mai a mettersi totalmente al sicuro" spiega Robert Hansen, CEO di secTheory. In effetti i sistemi sono pur sempre gestiti da esseri umani, fallibili per natura come chiunque altro: e i vari modelli di sviluppo web 2.0, spesso focalizzati sul funzionamento incrociato e contestuale di soluzioni diverse da fonti e piattaforme diverse, di certo non aiutano.

Luca Annunziata
14 Commenti alla Notizia Gmail a rischio hijacking
Ordina
  • Credete che gli altri servizi email siano esenti da bachi di questo tipo? Almeno Google grossa com'è e con così tanti account i bachi vengono scoperti e risolti in breve. Altri magari non vengono mai alla luce e può esserci anche qualcuno che ti legge la posta da anni.
    non+autenticato
  • - Scritto da: sneop
    > E bravi a Google. Avete letto questa:
    > http://www.tuxjournal.net/?p=1160?

    Dovevi leggerla tu...
    "L'opzione e' disabilitata di default"
    Inoltre e' semplice:
    servizio gratuito -> pubblicita'
    non vuoi pubblicita', marketing ecc... -> paga per i servizi
    non+autenticato
  • > non vuoi pubblicita', marketing ecc... -> paga
    > per i
    > servizi
    Bravo, hai capito veramente tutto dalla vita tu.....
    Se fossero tutti come te non ci sarebbe più niente di gratis su internet.
    E neanche di libero.
  • - Scritto da: R.M.S.
    > > non vuoi pubblicita', marketing ecc... -> paga
    > > per i
    > > servizi
    > Bravo, hai capito veramente tutto dalla vita
    > tu.....
    > Se fossero tutti come te non ci sarebbe più
    > niente di gratis su
    > internet.
    > E neanche di libero.

    se fossero tutti come te, i vendotori di saponette e prodotti per l'igene intimo sarabbo tutti falliti.
    non+autenticato
  • - Scritto da: R.M.S.
    > Bravo, hai capito veramente tutto dalla vita
    > tu.....
    > Se fossero tutti come te non ci sarebbe più
    > niente di gratis su
    > internet.
    > E neanche di libero.

    Errore....

    semplicemente esprimeva il concetto che su internet, dalla notte dei tempi sino ad oggi, e' sempre stato quantomeno tangibile il fatto che esistano 2 tipi di servizi:
    1. Gratuito
    2. a Pagamento.
    da che pro, il servizio, ha comunque un costo per chi lo mette in piedi e lo manutiene, quindi, questo costo, o se lo accolla per la gloria (cosa impensabile), o piu semplicemente lo scarica sui fruitori dello stesso,o con diretto pagamento di licenza per utilizzo, o tramite "re-fund" con visione di banner pubblicitari (solitamente)...
    non+autenticato
  • > semplicemente esprimeva il concetto che su
    > internet, dalla notte dei tempi sino ad oggi, e'
    > sempre stato quantomeno tangibile il fatto che
    > esistano 2 tipi di
    > servizi:
    > 1. Gratuito
    > 2. a Pagamento.

    Ti faccio un esempio per farti capire lo scempio (ah aha!)
    il servizio email di libero.it 5 anni fa funzionava a meraviglia ed era GRATUITO.
    Potevi scaricare la posta con qualsiasi tipo di conessione, e anche se ne fruivi on-site avevi un discreto servizio.
    Ora l'area disponibile è si e no UN SESTO dello schermo!
    Un frame dentro un altro frame buono solo per farti bestemmiare.....
    Ora ditemi che farlo più grande costava di più!
    Cazzate amici miei... bastava lasciarlo com'era prima che andava meglio.
    Nel frattempo Virgilio e persino l'hotmail dello zio bill non soffrono di questi problemi...
    Che significa tutto ciò??
    Che tendono a fregarti persino nel gratuito!
  • ...sto' Petko pdp Petkov non sara' mica il cugino russo di Aranzulla?!? A bocca apertaA bocca apertaA bocca apertaA bocca aperta

    LV&P Angioletto
  • - Scritto da: mr_setter
    > ...sto' Petko pdp Petkov non sara' mica il cugino
    > russo di Aranzulla?!? A bocca apertaA bocca apertaA bocca aperta
    >A bocca aperta
    >
    > LV&P Angioletto

    IL DIVULGATORE !

    Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridereRotola dal ridere Rotola dal ridere Rotola dal ridere Rotola dal ridere
  • Qui ci sono un po' di info
    http://yep.it/fhg_jp
    ovviamente le full disclosure ce le possiamo scordare, ma almeno una lista della spesa user e/o dev side sono reperibili.
    non+autenticato
  • - Scritto da: downhill
    > Qui ci sono un po' di info
    > http://yep.it/fhg_jp
    > ovviamente le full disclosure ce le possiamo
    > scordare, ma almeno una lista della spesa user
    > e/o dev side sono
    > reperibili.

    Ottimo downhill!!! Occhiolino
    http://uk.geocities.com/g0rf@btinternet.com/Images...

    LV&P Angioletto
  • Ma il full-disclosure non era il verbo dei cantinari??

    - Scritto da: downhill
    > Qui ci sono un po' di info
    > http://yep.it/fhg_jp
    > ovviamente le full disclosure ce le possiamo
    > scordare, ma almeno una lista della spesa user
    > e/o dev side sono
    > reperibili.
    non+autenticato
  • Domanda:
    Per evitare di essere vittime di bachi dovuti al "cross-site scripting", si può risolvere aprendo solo la finestra della web-mail senza aprire altre pagine web?

    attendo risposta dagli utenti più esperti ...

    Bye
    non+autenticato
  • - Scritto da: marco.jj
    > Domanda:
    > Per evitare di essere vittime di bachi dovuti al
    > "cross-site scripting", si può risolvere aprendo
    > solo la finestra della web-mail senza aprire
    > altre pagine
    > web?
    >
    > attendo risposta dagli utenti più esperti ...
    >
    > Bye

    Dal sito linkato da downhill(Thx!)

       1. Victim must be logged in GMail.

       2. Victim must visit a malicious web page: most likely scenarios are clicking an external link from an incoming message or surfing porn while checking email from time to time.

       3. The malicious web site forges a POST request to GMail’s “Create Filter” wizard, possibly using an autosubmit invisible form to build a filter which forwards incoming messages to a mail recipient owned by the attacker.

       4. Since user is already authenticated, her session cookie is passed along with the forged request and the GMail filter gets silently implanted, with all the output hidden inside an IFRAME.

       5. The new GMail filter now acts as a persistent backdoor stealing incoming messages, and it will go unnoticed forever unless the victim is a power GMail user who creates or edits from time to time her own filters, which are deep buried in the “Settings” user interface: I, for instance, never saw them until yesterday!

    Leggendo i primi due punti ne consegue che se non sei loggato a nient'altro che alla tua casella di posta nella pagina di GMail sei OK!

    LV&P Angioletto
    -----------------------------------------------------------
    Modificato dall' autore il 27 settembre 2007 01.48
    -----------------------------------------------------------