Avete presente i Zalgo text? I simpatici testi costituiti da caratteri e metacaratteri (lettere, numeri e simboli), spesso utilizzati sui forum, messaggi e-mail e social network con l’intento di stupire sarebbero indigesti a Gmail . A scoprirlo è stato Roberto Bindi, esperto informatico che collabora con l’italiana We Are Segment nel corso di alcuni esperimenti riguardanti gli effetti dei Zalgo text (o per meglio dire di unicode) sui comuni browser, che come risaputo tendono ad andare in crash. Ma quel che non si sapeva finora è che quando si supera il milione di metacaratteri iniettati va il tilt anche Gmail e non solo Chrome, Explorer, Firefox e alcune app di messaggistica.
La scoperta mette in allarme così soprattutto le aziende che potrebbero vedere le loro caselle di posta prese di mira. Inviare codice malevolo infatti risulta particolarmente facile. Basta generare un lungo Zalgo text attraverso uno qualsiasi dei numerosi tool disponibili online e spedire. Il messaggio risulterà impossibile da aprire in Gmail , ma sufficiente a mandare in blocco il sistema . Google a questo punto restituirà un generico “Errore 500” e ancor peggio l’account di posta rimane in blocco anche fino a 4 giorni (come avvenuto nel test).
” Dopo aver scoperto che, inviando una serie di caratteri speciali, Gmail smetteva di rispondere mi sono subito preoccupato per i possibili danni che sarebbero potuti emergere se la vulnerabilità fosse stata resa pubblica: un malintenzionato potrebbe, inviando una semplice email, bloccare una mail del tipo ‘acquisti@…’ o altre mail utilizzate in ambito lavorativo o commerciale. Ecco perché la mia azienda ha scelto di divulgare questa informazione solo dopo la rapida risoluzione del problema ” – ha confermato il giovane hacker.
L’azienda ha effettivamente comunicato la vulnerabilità al team tecnico di Google che l’ha presa in carico per una rapida risoluzione. “Questo fatto dimostra ancora una volta come la ricerca sia un tassello fondamentale del nostro lavoro, perché anche grazie a questo tipo di attività possiamo dare il nostro contributo per aumentare la sicurezza informatica a livello mondiale” – ha afferma Filippo Cavallarin, CEO di We Are Segment che non è nuovo a questo tipo di scoperte. Solo pochi mesi fa, lo stesso team, ha aiutato a risolvere una vulnerabilità nel browser Tor che metteva a repentaglio la privacy rendendo esplicito l’indirizzo IP. In tale occasione l’azienda aveva ribattezzato il bug TorMoil .
Oltre alla meritata visibilità e all’orgoglio di partecipare alla risoluzione di problemi così gravi con una risonanza planetaria, si prospettano per l’azienda nuovo opportunità commerciali. L’eticità in questo caso ha premiato.
Mirko Zago
fonte immagine