Alfonso Maruccia

Gmail, ancora irrisolta la falla dei domini

La webmail di BigG è ancora sotto accusa per un bug già noto che se sfruttato potrebbe facilitare il furto del dominio. Difendersi è possibile ma il problema non è risolto

Roma - Il phishing non basta? Il trick per ottenere credenziali senza colpo ferire è un giochetto troppo da noob? Non c'è problema: se i cyber-criminali volessero essere alternativi oltre che dannosi, Gmail di Google offre la disponibilità di un ennesimo vettore di attacco, nella fattispecie la possibilità di abusare dei filtri di forwarding automatico delle mail per rubare ogni genere di informazioni, prima fra tutte la password per la gestione di un nome di dominio.

La falla, o per meglio dire il difetto strutturale di Gmail è noto da tempo, Google ne è a conoscenza così come sono state approntate nel corso dei mesi modifiche al portale che però, dicono ora alcuni, non sembrano aver avuto una particolare efficacia. A riparlarne questa volta è GeekCondition, che in un proof-of-concept reso disponibile online spiega nel dettaglio tutto quanto è necessario per la riuscita dell'attacco.

L'exploit, prima di tutto, fa affidamento sul furto delle due variabili utilizzate da Gmail per impostare un filtro nella webmail, uno Unique Account Identifier che non cambia mai e una Session Authorization Key valida sino allo scadere della sessione autenticata contenuta nei cookie salvati in locale da Google. Lo UAI, sostengono da GeekCondition, è possibile recuperarlo attraverso una ricerca sul web (quindi sempre con Google), mentre per conoscere l'SAK occorre dirottare l'utente verso un indirizzo o un iframe velenoso che si incarichi di leggere il contenuto del cookie.
Una volta ottenute le due variabili necessarie a impostare il filtro automatico, l'intera corrispondenza che transita su Gmail diventa a rischio, e nel caso l'utente avesse registrato un dominio su GoDaddy, per fare un esempio, il cyber-criminale potrebbe farsi recapitare nella mail la password di accesso attraverso la funzionalità di cambio password del sito del registrar.

La falla, come detto, è nota da tempo, e le cronache parlano di una prima disamina della questione risalente a settembre dell'anno scorso. Google avrebbe fatto sapere di aver messo una pezza al problema, ma questo non è stato sufficiente a salvare il sito di David Airey (a cui fu chiesto persino un riscatto) e il dominio MakeUseOf.

Il problema dunque non è risolto, la falla vive e lotta insieme a noi e in rete si moltiplicano i consigli per una buona profilassi di sicurezza su Gmail, il browser e tutto quanto. In attesa (perenne?) che il problema venga risolto alla radice, ammesso che per l'infrastruttura di BigG sia possibile, gli esperti consigliano di controllare la presenza di filtri indesiderati sull'account Gmail, non rimanere loggati nelle sessioni della webmail e installare l'add-on "ammazza script" per Firefox NoScript. Oppure, in casi estremi, cambiare fornitore di webmail.

Alfonso Maruccia
67 Commenti alla Notizia Gmail, ancora irrisolta la falla dei domini
Ordina
  • ciao a tutti io per una settimana intera ho avuto problemi congoogle perfavore rimoderizzatelo!!!!!!!!!!!!!!!!!!!!!!!
    non+autenticato
  • Se leggete l'articolo a cui fa riferimento, troverete che Gmail di per se stesso non ha nessuna vulnerabilità.

    Il rischio è SOLO per che usa gmail con un proprio dominio registrato con GoDaddy’s http://www.godaddy.com, un noto register di domini americano che ha una convenzione con Google per gli utenti di Gmail.

    Se rientrate in quella categoria di utenti effettivamente rischiati di perdere possesso del dominino e questa è un grave vulnerabilità. Ma se non usate Gmail usando un dominio registrato con un altro fornitore o se non avete un vostro dominio cioè usate @gmail.com, non c'è nessuna vulnerabilità.
    non+autenticato
  • ..se vuoi usare un'account su + clients di posta con POP allora sono seccature.

    1° Problema: Gmail si comporta in maniera diversa dagli altri server di posta perchè riconosce le mail (definendole "conversazioni") in un unico cassettone, da interfaccia web le mail vengono suddivise in etichette come "posta in arrivo", "posta in uscita" etc., ma sui clients con il pop le mail che invii, ti ritorneranno in posta in arrivo.

    2° Problema: Gmail non fa scaricare la stessa mail via POP da più computers a meno che non si usi un'escamotage di inserire come nome utente "recent:pippo@pippo.com". allora si potrà scaricare tutte le mail di 30 giorni prima.

    Insomma devo dire che il filtro antispam funziona benissimo, e l'IMAP funziona altrettanto bene, ma con il POP non ci siamo proprio...
    non+autenticato
  • - Scritto da: Vischio
    > ..se vuoi usare un'account su + clients di posta
    > con POP allora sono
    > seccature.

    > "posta in uscita" etc., ma sui clients con il pop
    > le mail che invii, ti ritorneranno in posta in
    > arrivo.

    huhu ?
    mai avuto un problema del genere

    > 2° Problema: Gmail non fa scaricare la stessa
    > mail via POP da più computers a meno che non si
    > usi un'escamotage di inserire come nome utente
    > "recent:pippo@pippo.com". allora si potrà
    > scaricare tutte le mail di 30 giorni> prima.

    su nessun server lo puoi fare, perché la mail pop, generalmente vengono cancellate dopo la lettura.
    Quello di scaricare la stessa posta di un mese prima é solo un ottimo modo di fare una gran confusione.

    > Insomma devo dire che il filtro antispam funziona
    > benissimo, e l'IMAP funziona altrettanto bene, ma
    > con il POP non ci siamo
    > proprio...

    meglio libero.idiot che non permette di scaricare via pop a chi cambia provider
  • > meglio libero.idiot che non permette di scaricare
    > via pop a chi cambia
    > provider
    Non ho più provato (non uso più client di posta elettronica) ma fino all'anno scorso la mail di libero la potevi scaricare tranquillamente usando qualunque client che non fosse Outlook e suo fratello: com'è ora la situazione?
  • Non "cambia client" ma a chi "cambia provider"...

    Leggere bene pls..Sorride
    non+autenticato
  • - Scritto da: libero
    > Non "cambia client" ma a chi "cambia provider"...
    >
    > Leggere bene pls..Sorride
    Ho letto benissimo: se cambiavo provider, prima, Thunderbird continuava a funzionare, mentre Outlook Express no.
    Cmq, grazie lo stesso, mi ha risposto Funz.
  • Non si può più da un pezzo, devi usare freepops.
    Funz
    11922
  • - Scritto da: Andrea_Cuomo
    > > con il POP non ci siamo
    > > proprio...
    >
    > meglio libero.idiot che non permette di scaricare
    > via pop a chi cambia
    > provider

    freepops, per chi non può proprio fare a meno della mail di libero (o qualunque altro provider) dopo aver cambiato provider.
    Io ad esempio, mia mamma e mia moglie.
    Funz
    11922
  • - Scritto da: Funz
    > freepops, per chi non può proprio fare a meno
    > della mail di libero (o qualunque altro provider)
    > dopo aver cambiato
    > provider.> Io ad esempio, mia mamma e mia moglie.

    Molti hanno questo problema.
    "ho giá dato il mio indirizzo ad un sacco di gente ed ora non posso contattarli tutti"

    Con Libero puoi creare un risponditore che manda una mail a tutti quelli che ti scrivono dicendo "ho cambiato la mia mail scrivi a..."
  • - Scritto da: Andrea_Cuomo

    > Molti hanno questo problema.
    > "ho giá dato il mio indirizzo ad un sacco di
    > gente ed ora non posso contattarli
    > tutti"
    >
    > Con Libero puoi creare un risponditore che manda
    > una mail a tutti quelli che ti scrivono dicendo
    > "ho cambiato la mia mail scrivi
    > a..."

    Il problema è che pochi conoscono questa possibilità.

    L'avevo fatto quando ho mollato tin.it, ma piuttosto che usare la mail del nuovo provider e magari cambiarla un'altra volta dopo qualche anno, sono tornato alla prima mail gratuita di inwind.
    Penso che l'indirizzo di mail personale dovrebbe essere garantito per tutti, e non soggetto alle bizze di questa o quella azienda...
    Funz
    11922
  • - Scritto da: Andrea_Cuomo
    >
    > su nessun server lo puoi fare, perché la mail
    > pop, generalmente vengono cancellate dopo la
    > lettura.

    Veramente basta che nelle opzioni del client specifichi di lasciare la posta sul server per N giorni e funziona con tutti, Libero compreso.
    Lo uso sempre per poter dare un'occhiata alle mie caselle su un PC che non sia quello principale in cui archivio tutta la posta.
    non+autenticato
  • - Scritto da: Soldier of Sorrow
    > - Scritto da: Andrea_Cuomo
    > >
    > > su nessun server lo puoi fare, perché la mail
    > > pop, generalmente vengono cancellate dopo la
    > > lettura.

    quale parte di "generalmente" non hai capito ?

    > Veramente basta che nelle opzioni del client
    > specifichi di lasciare la posta sul server per N
    > giorni e funziona con tutti, Libero
    > compreso.
    > Lo uso sempre per poter dare un'occhiata alle mie
    > caselle su un PC che non sia quello principale in
    > cui archivio tutta la
    > posta.
  • scusate, ma non ho mica capito come si fa a difendersi (vedi il sottotitolo dell'articolo).
    non+autenticato
  • Risposta semplice: installa Thunderbird e strafregatene delle "webmail" gestite via browser Con la lingua fuori
  • Basta che imposti usa sempre SSL sulle opzioni !
    non+autenticato
  • - Scritto da: Alfonso Maruccia
    > Risposta semplice: installa Thunderbird e
    > strafregatene delle "webmail" gestite via browser
    > Con la lingua fuori

    pero poi devi fare i conti con le falle di Firefox che risultano non patchate su Thunderbid o patchated il mese dopo perchè sono pigri Sorride
    A questo punto meglio OE.
    non+autenticato
  • - Scritto da: treno
    > - Scritto da: Alfonso Maruccia
    > > Risposta semplice: installa Thunderbird e
    > > strafregatene delle "webmail" gestite via
    > browser
    > > Con la lingua fuori
    >
    > pero poi devi fare i conti con le falle di
    > Firefox che risultano non patchate su Thunderbid
    > o patchated il mese dopo perchè sono pigri
    > Sorride
    > A questo punto meglio OE.
    Come no: il famoso OE portable.
  • Spero tu stia scherzando.... mille volte meglio una falla in firefox, mitigabile in 10.000 modi diversi sul client piuttosto che un problema strutturale del "cloudd compiuting" A bocca aperta
  • incredibile io non so chi tenga gmail.com tral'altro l'80% dei server postali bloccano il traffico proveniente da gmail.com bho
    non+autenticato
  • trollata!
    mai avuto un problema con gmail
    non+autenticato
  • - Scritto da: rocco
    > tral'altro l'80% dei server postali bloccano il
    > traffico proveniente da gmail.com
    che? cosa?
    tuba
    342
  • > che? cosa?
    Niente, ogni tanto un po' di FUD non fa male Sorride
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)