Mirko Zago

Come ti mando in tilt Gmail...

1 milione di stringhe di Unicode sono sufficienti a mandare in tilt Gmail per ben 4 giorni. La scoperta è di un tecnico informatico italiano che ha prontamente segnalato la questione a Google

Roma - Avete presente i Zalgo text? I simpatici testi costituiti da caratteri e metacaratteri (lettere, numeri e simboli), spesso utilizzati sui forum, messaggi e-mail e social network con l'intento di stupire sarebbero indigesti a Gmail. A scoprirlo è stato Roberto Bindi, esperto informatico che collabora con l'italiana We Are Segment nel corso di alcuni esperimenti riguardanti gli effetti dei Zalgo text (o per meglio dire di unicode) sui comuni browser, che come risaputo tendono ad andare in crash. Ma quel che non si sapeva finora è che quando si supera il milione di metacaratteri iniettati va il tilt anche Gmail e non solo Chrome, Explorer, Firefox e alcune app di messaggistica.


Zalgo text

La scoperta mette in allarme così soprattutto le aziende che potrebbero vedere le loro caselle di posta prese di mira. Inviare codice malevolo infatti risulta particolarmente facile. Basta generare un lungo Zalgo text attraverso uno qualsiasi dei numerosi tool disponibili online e spedire. Il messaggio risulterà impossibile da aprire in Gmail, ma sufficiente a mandare in blocco il sistema. Google a questo punto restituirà un generico "Errore 500" e ancor peggio l'account di posta rimane in blocco anche fino a 4 giorni (come avvenuto nel test).

"Dopo aver scoperto che, inviando una serie di caratteri speciali, Gmail smetteva di rispondere mi sono subito preoccupato per i possibili danni che sarebbero potuti emergere se la vulnerabilità fosse stata resa pubblica: un malintenzionato potrebbe, inviando una semplice email, bloccare una mail del tipo 'acquisti@...' o altre mail utilizzate in ambito lavorativo o commerciale. Ecco perché la mia azienda ha scelto di divulgare questa informazione solo dopo la rapida risoluzione del problema" - ha confermato il giovane hacker.
L'azienda ha effettivamente comunicato la vulnerabilità al team tecnico di Google che l'ha presa in carico per una rapida risoluzione. "Questo fatto dimostra ancora una volta come la ricerca sia un tassello fondamentale del nostro lavoro, perché anche grazie a questo tipo di attività possiamo dare il nostro contributo per aumentare la sicurezza informatica a livello mondiale" - ha afferma Filippo Cavallarin, CEO di We Are Segment che non è nuovo a questo tipo di scoperte. Solo pochi mesi fa, lo stesso team, ha aiutato a risolvere una vulnerabilità nel browser Tor che metteva a repentaglio la privacy rendendo esplicito l'indirizzo IP. In tale occasione l'azienda aveva ribattezzato il bug TorMoil.

Oltre alla meritata visibilità e all'orgoglio di partecipare alla risoluzione di problemi così gravi con una risonanza planetaria, si prospettano per l'azienda nuovo opportunità commerciali. L'eticità in questo caso ha premiato.

Mirko Zago
fonte immagine
Notizie collegate
  • AttualitàMicrosoft contro Google per il bug di ChromeRedmond si prende la rivincita sul rivale a causa di una vulnerabilità scovata in Chrome ma non corretta (nella versione stabile del browser) per un mese. L'anno scorso le parti erano invertite
  • SicurezzaGmail, sicurezza a fasi alterneGoogle promette che nel prossimo futuro avvertirà gli utenti Gmail quando le missive ricevute siano transitate su connessioni non cifrate. Ma nel frattempo un bug permette agli utenti Gmail di spacciarsi per chiunque
  • SicurezzaGmail segnala le conversazioni non sicureIl servizio di posta elettronica di Google inizierà a classificare gli interlocutori in base alle misure di sicurezza supportate dai loro servizi email. Non uno stigma, ma uno stimolo
7 Commenti alla Notizia Come ti mando in tilt Gmail...
Ordina
  • ma dai...eccone un altro che crede che tonnellate di persone che NON lavorano servano a qualcosa. Montagne di amministrativi e markettari e pochi che lavorano sul serio...in ogni settore. Si vede infatti come va a gonfie vele la nostra società e il mondo del lavoro...
    non+autenticato
  • Te ne racconto una di Amazon, di adesso: un'amica praticamente non informatizzata ha rotto il computer e mi chiede se posso far qualcosa, faccio la "lista della spesa" e le propongo Amazon. Visto che lei tempo fa aveva un account (3 acquisti in totale in anni) abbiamo usato il suo account con la sua carta, solo inserendo il mio indirizzo al posto del suo così le avrei montato il tutto e consegnato pronto.

    Amazon ha *cancellato* arbitrariamente l'ordine poiché han sommato "computer diverso" e "indirizzo di consegna diverso" come un tentativo di furto. Chiamato il call-center (o meglio fatto richiamare dal call-center) non si può ripristinare l'ordine e di più se si rifacesse lo stesso ordine *potrebbe* (non sono in grado di garantirlo!!!) esser cancellato di nuovo.

    Ora pubblicità a parte, se un vendor sospettasse qualcosa di strano ha tutto il diritto di chiedere conferma al cliente, ma non certo di cancellare arbitrariamente l'ordine. Di più l'umano del call center dovrebbe aver tutto il potere di correggere questo. No, con Amazon non è così, evidentemente si sentono abbastanza grossi da esser sicuri che comunque vai da loro e si arrogano il diritto di contare di più qualche "IDS" rispetto all'umano.

    Questo è *peggio* del marketing.
    non+autenticato
  • !Il commento contiene una parola troppo lunga.
    ą̛͕͙̝͜!
    non+autenticato
  • !Il commento contiene una parola troppo lunga.
    Zͥ͐̓͊̐͌!
    non+autenticato
  • Dal mio punto di vista il problema dell'unicode è nell'aver trasformato un "protocollo" come l'utf8 in un bloatware di regole lessicali e grafiche.
    In particolare il problema principale è dato dai diacritical marks che solitamente sono il motivo per cui alcuni programmi subiscono rallentamenti e si possono evadere le regex
    https://en.wikipedia.org/wiki/Combining_character
    Un diacritical mark serve a modificare... il carattere precedente, cioè dopo aver letto e decodificato dall'utf8 un carattere alcuni programmi devono ridisegnarlo tornando indietro e modificandolo seguendo il carattere corrente. Una logica che per un sistema di scrittura che dovrebbe essere "semplice" e consentirmi solo di scrivere i caratteri èòàöäüß.. non supportati dall'ANSI ASCII è abbastanza bloat. I diacritical marks rendono estremamente poco intuitivo capire quanti caratteri ha un testo unicode perché se scrivi "è" con i diacritical sempre di un carattere si tratta ...ma sono più di un carattere UTF8 e per generare il carattere ho dovuto anche accedere al buffer precedente in lettura e riscriverlo.
    non+autenticato
  • Una cosa sono i caratteri più specifici un'altra cosa sono tutti i "ghirigori" in eccesso...
    non+autenticato