Roma - Il
phishing non basta? Il trick per ottenere credenziali
senza colpo ferire è un giochetto troppo da
noob? Non c'è problema: se i cyber-criminali volessero essere alternativi oltre che dannosi, Gmail di Google offre
la disponibilità di un ennesimo vettore di attacco, nella fattispecie la possibilità di abusare dei filtri di
forwarding automatico delle mail per rubare ogni genere di informazioni, prima fra tutte la password per la gestione di un nome di dominio.
La falla, o per meglio dire il difetto strutturale di Gmail è noto da tempo,
Google ne è a conoscenza così come sono state approntate nel corso dei mesi modifiche al portale che però, dicono ora alcuni, non sembrano aver avuto una particolare efficacia. A riparlarne questa volta è
GeekCondition, che in
un proof-of-concept reso disponibile online spiega nel dettaglio tutto quanto è necessario per la riuscita dell'attacco.
L'exploit, prima di tutto,
fa affidamento sul furto delle due variabili utilizzate da Gmail per impostare un filtro nella webmail, uno
Unique Account Identifier che non cambia mai e una
Session Authorization Key valida sino allo scadere della sessione autenticata contenuta nei cookie salvati in locale da Google. Lo UAI, sostengono da GeekCondition, è possibile
recuperarlo attraverso una ricerca sul web (quindi sempre con Google), mentre per conoscere l'SAK occorre dirottare l'utente verso un indirizzo o un
iframe velenoso che si incarichi di leggere il contenuto del cookie.
Una volta ottenute le due variabili necessarie a impostare il filtro automatico,
l'intera corrispondenza che transita su Gmail diventa a rischio, e nel caso l'utente avesse registrato un dominio su
GoDaddy, per fare un esempio, il cyber-criminale potrebbe farsi recapitare nella mail la password di accesso attraverso la funzionalità di cambio password del sito del
registrar.
La falla, come detto, è nota da tempo, e
le cronache parlano di una prima disamina della questione
risalente a settembre dell'anno scorso. Google avrebbe fatto sapere di aver messo una pezza al problema, ma questo non è stato sufficiente a salvare il sito di David Airey (a cui fu chiesto
persino un riscatto) e il dominio
MakeUseOf.
Il problema dunque non è risolto, la falla vive e lotta insieme a noi e in rete
si moltiplicano i consigli per una buona profilassi di sicurezza su Gmail, il browser e tutto quanto. In attesa (perenne?) che il problema venga risolto alla radice,
ammesso che per l'infrastruttura di BigG sia possibile, gli esperti consigliano di controllare la presenza di filtri indesiderati sull'account Gmail, non rimanere
loggati nelle sessioni della webmail e installare l'add-on "ammazza script" per Firefox
NoScript. Oppure, in casi estremi, cambiare fornitore di webmail.
Alfonso Maruccia