Si è trattato di un falso allarme: il paventato buco nei servizi di posta di Google, quello che consentirebbe pure di accaparrarsi indebitamente i domini altrui, era una bufala. Altro che falla sempiterna di Gmail, altro che bug che si trascina da mesi – anzi da quasi due anni – nei sistemi di Google: le toppe per quei buchi sono state applicate immantinente e funzionano. Se poi però gli utenti cliccano sulle email sbagliate e cascano in vecchi trucchetti, allora BigG i miracoli proprio non può farli.
Secondo quanto comunicato da Chris Evans sul blog ufficiale dell’azienda, le indagini condotte internamente da Google hanno rivelato una realtà ben diversa da quella dipinta dagli hacker: non c’è alcun buco nero nell’interfaccia di Gmail, niente che risalga al settembre 2007 e che ancora oggi mieta vittime. Semplicemente, e gli accertamenti condotti assieme alle vittime lo confermerebbero, i malcapitati di turno sarebbero rimasti preda del consueto giochetto del phishing : un dominio somigliante il più possibile all’originale, qualche email contraffatta e si finisce per rivelare user ID e password al malvivente in agguato.
In particolare, in questo caso ci sarebbe di mezzo un dominio del tipo “google-host.com”, utilizzato unicamente per carpire le credenziali della vittima: “Questi siti fake non hanno alcun tipo di relazione con Google – precisa Evans – e quelli che abbiamo individuato ora sono offline”. Una volta che l’attaccante abbia ottenuto la password, non deve fare altro che introdursi nell’account e impostare un filtro che inoltri ad un suo indirizzo tutte le email di un certo tipo: come quelle in arrivo da un registrar, GoDaddy in questo caso, in modo da poter ottenere accesso anche a quel dominio tramite una semplice procedura di recupero della password dimenticata.
Ogni leggenda, si sa, nasconde comunque un fondo di verità. Il bug del sistema Gmail è esistito, ed è stato effettivamente segnalato nel settembre del 2007: ma Google, questa la ricostruzione di Evans, ha provveduto a metterci una patch in meno di 24 ore. A tempo di record i sistemi di BigG erano di nuovo sicuri, e dunque niente di quanto successo in seguito – comprese tutte le rocambolesche vicende descritte da alcuni siti – è in qualche modo imputabile all’inefficienza dei meccanismi di sicurezza di Mountain View.
“Siamo consapevoli – prosegue il post sul blog di Google – di quante persone facciano affidamento su Gmail, e ci impegniamo affinché sia il più sicuro possibile”. In ogni caso, però, vale la pena ricordare agli utenti che anche loro devono fare la loro parte per tenere al sicuro certe informazioni: e dunque, in conclusione, Evans ricorda a tutti che è possibile impostare di default Gmail per lavorare esclusivamente su protocollo HTTPS. Come questo possa eventualmente mettere in salvo dai casi di phishing come quello descritto, resta comunque un mistero.
Luca Annunziata
Ti potrebbe interessare
27 nov 2008