Alfonso Maruccia

Gmail, la posta elettronica col buco

La webmail di Mountain View presterebbe il fianco agli spammer permettendo l'invio di posta elettronica (indesiderata) agli utenti che visitino un sito appositamente progettato

La versione iniziale dell'articolo riferiva che il problema individuato riguardasse Google App Engine. In realtà il problema era relativo all'API per gli script di Google Apps.

Roma - Questa volta tocca a Gmail cadere vittima di una grave falla nella protezione della privacy dell'utente da parte di Google. Costruendo una pagina web apposita, uno spammer potrebbe facilmente spedire in giro per la rete posta indesiderata e questo senza nemmeno conoscere la mailbox della potenziale vittima.

Il baco è stato scovato da Vahe G., ragazzo armeno di 21 anni che aveva deciso di mostrare l'effetto pratico del problema servendosi della piattaforma di blogging di (Blogger). L'utente non doveva far altro che visitare l'URL essendo contemporaneamente loggato a un qualunque servizio di Google, a quel punto il codice nascosto nell'URL avrebbe sfruttato i cookie di autenticazione al succitato servizio per inviare direttamente una mail con oggetto e contenuto a piacimento.
L'exploit aveva la capacità di funzionare anche nella modalità di navigazione anonima - che normalmente non fornisce accesso ai cookie salvati in locale - e le email così spedite risultavano perfettamente camuffate avendo come mittente l'indirizzo standard "noreply@google.com".

Google ha risposto a questa nuova minaccia della privacy degli utenti in maniera tempestiva, chiudendo il blog su Blogger e correggendo il baco presente nella API Apps Script della piattaforma Apps. Ma apparentemente c'è stata una mancanza di comunicazione tra Vahe G. e il Googleplex: il ragazzo sostiene di aver provato a contattare direttamente Mountain View, e di essere solo in un secondo momento passato alla dimostrazione pratica su Blogger visto il silenzio di Google sulla questione.

"Prendiamo molto sul serio i potenziali problemi di sicurezza", ha risposto Google, prova ne sia la rimozione del blog "dimostrativo" e la correzione del baco su Google Apps che ha rimesso a posto le cose. E per quanto riguarda la comunicazione di bachi e falle di sicurezza, Google "incoraggia la divulgazione responsabile di potenziali problemi alla sicurezza delle applicazioni all'indirizzo security@google.com".

Alfonso Maruccia
Notizie collegate
  • AttualitàGoogle: contro i federali, per la nuvolaAvviata una causa legale contro governo federale. Avrebbe stroncato la concorrenza nell'assegnazione di una licenza per alcuni servizi in remoto. Mountain View contro Capitol Hill?
  • TecnologiaGoogle, cacciatori di bachi cercasiMountain View lancia il proprio programma di ricompense rivolto ai cercatori di bug. Fornite tutte le indicazioni per riuscire ad aggiudicarsi la taglia. Lasciato fuori Android, per il momento
  • SicurezzaAndroid, 3 candeline col bucoCompleanno agrodolce per il sistema operativo mobile di Google. Che festeggia i suoi notevoli risultati sul mercato, ma langue in mezzo ai bachi. Tutta colpa della frammentazione?
6 Commenti alla Notizia Gmail, la posta elettronica col buco
Ordina