Il phishing non basta? Il trick per ottenere credenziali senza colpo ferire è un giochetto troppo da noob ? Non c’è problema: se i cyber-criminali volessero essere alternativi oltre che dannosi, Gmail di Google offre la disponibilità di un ennesimo vettore di attacco , nella fattispecie la possibilità di abusare dei filtri di forwarding automatico delle mail per rubare ogni genere di informazioni, prima fra tutte la password per la gestione di un nome di dominio.
La falla, o per meglio dire il difetto strutturale di Gmail è noto da tempo, Google ne è a conoscenza così come sono state approntate nel corso dei mesi modifiche al portale che però, dicono ora alcuni, non sembrano aver avuto una particolare efficacia. A riparlarne questa volta è GeekCondition , che in un proof-of-concept reso disponibile online spiega nel dettaglio tutto quanto è necessario per la riuscita dell’attacco.
L’exploit, prima di tutto, fa affidamento sul furto delle due variabili utilizzate da Gmail per impostare un filtro nella webmail, uno Unique Account Identifier che non cambia mai e una Session Authorization Key valida sino allo scadere della sessione autenticata contenuta nei cookie salvati in locale da Google. Lo UAI, sostengono da GeekCondition, è possibile recuperarlo attraverso una ricerca sul web (quindi sempre con Google), mentre per conoscere l’SAK occorre dirottare l’utente verso un indirizzo o un iframe velenoso che si incarichi di leggere il contenuto del cookie.
Una volta ottenute le due variabili necessarie a impostare il filtro automatico, l’intera corrispondenza che transita su Gmail diventa a rischio , e nel caso l’utente avesse registrato un dominio su GoDaddy , per fare un esempio, il cyber-criminale potrebbe farsi recapitare nella mail la password di accesso attraverso la funzionalità di cambio password del sito del registrar .
La falla, come detto, è nota da tempo, e le cronache parlano di una prima disamina della questione risalente a settembre dell’anno scorso . Google avrebbe fatto sapere di aver messo una pezza al problema, ma questo non è stato sufficiente a salvare il sito di David Airey (a cui fu chiesto persino un riscatto ) e il dominio MakeUseOf .
Il problema dunque non è risolto, la falla vive e lotta insieme a noi e in rete si moltiplicano i consigli per una buona profilassi di sicurezza su Gmail, il browser e tutto quanto. In attesa (perenne?) che il problema venga risolto alla radice, ammesso che per l’infrastruttura di BigG sia possibile , gli esperti consigliano di controllare la presenza di filtri indesiderati sull’account Gmail, non rimanere loggati nelle sessioni della webmail e installare l’add-on “ammazza script” per Firefox NoScript . Oppure, in casi estremi, cambiare fornitore di webmail.
Alfonso Maruccia
Ti potrebbe interessare
25 nov 2008