Gmail a rischio hijacking
Topic
Approfondimenti
Trending
tutti

Gmail a rischio hijacking

Un noto bug hunter diffonde alcune anticipazioni su un metodo per rubare la posta agli account della webmail di Google. Per mettersi nei guai basta un clic sul sito sbagliato
Sicurezza Antivirus
Un noto bug hunter diffonde alcune anticipazioni su un metodo per rubare la posta agli account della webmail di Google. Per mettersi nei guai basta un clic sul sito sbagliato

Ferve l’attività di Petko pdp Petkov, ormai celebre esperto di sicurezza informatica: dopo aver svelato una falla nel formato PDF e una di Windows XP , questa volta è toccato a Gmail, il servizio di posta elettronica gratuita offerto da Google . Mediante un banale codice inserito in un sito, Petkov sostiene di essere in grado di guadagnare l’accesso ad una casella di posta e duplicarne il contenuto su un server remoto.

Per il momento non sono stati diffusi i dettagli sulla vulnerabilità. Una sommaria descrizione del suo funzionamento è stata tuttavia fatta sulle pagine di ZDNet : la vittima sarebbe un comune navigatore, che surfa la rete mentre è già connesso all’interfaccia web di Gmail. Visitando un sito, grazie ad una tecnica nota come cross-site request forgery ( XSRF ), al suo browser possono venire impartite delle istruzioni per realizzare un filtro nella casella di posta .

Una schermata di Gmail Tutte le email indirizzate ad un particolare destinatario, o magari quelle contenenti un allegato, vengono indicizzate da questo filtro: tra le varie funzioni di quest’ultimo, può anche esserci quella di inoltrare la posta ad un indirizzo specificato . In questo modo l’attaccante otterrebbe copia conforme di tutta la corrispondenza della vittima, almeno fino a quando il malcapitato non rimuova il filtro incriminato.

Non si tratta neppure di una idea originale. Un buco molto simile era stato scoperto a gennaio , e aveva causato non pochi grattacapi ai tecnici di BigG.

Un periodaccio per gli esperti Google, che a quanto pare devono fronteggiare qualche problemino residuo su Google Groups , un buggetto che riguarda i sistemi di indicizzazione venduti alle aziende, e anche un’incertezza nel celebre applicativo per la gestione delle immagini Picasa .

“Google prende molto sul serio le questioni di sicurezza, e risolveremo rapidamente tutti i problemi identificabili” ha dichiarato a The Register un portavoce di BigG. Ma la sfida appare improba: “Anche spendendo centinaia di milioni di dollari, non riusciranno mai a mettersi totalmente al sicuro” spiega Robert Hansen, CEO di secTheory . In effetti i sistemi sono pur sempre gestiti da esseri umani , fallibili per natura come chiunque altro: e i vari modelli di sviluppo web 2.0, spesso focalizzati sul funzionamento incrociato e contestuale di soluzioni diverse da fonti e piattaforme diverse, di certo non aiutano .

Luca Annunziata

Pubblicato il 27 set 2007

Link copiato negli appunti

Ti potrebbe interessare

Antivirus e VPN in un'unica soluzione a meno di 4€ al mese con Norton

Antivirus e VPN in un'unica soluzione a meno di 4€ al mese con Norton
Chiamate di telemarketing: come eliminarle grazie a Incogni

Chiamate di telemarketing: come eliminarle grazie a Incogni
Acquisti online sicuri: come pagare sul web in sicurezza

Acquisti online sicuri: come pagare sul web in sicurezza
Kaspersky Premium: sicurezza web avanzata a metà prezzo

Kaspersky Premium: sicurezza web avanzata a metà prezzo
Antivirus e VPN in un'unica soluzione a meno di 4€ al mese con Norton

Antivirus e VPN in un'unica soluzione a meno di 4€ al mese con Norton
Chiamate di telemarketing: come eliminarle grazie a Incogni

Chiamate di telemarketing: come eliminarle grazie a Incogni
Acquisti online sicuri: come pagare sul web in sicurezza

Acquisti online sicuri: come pagare sul web in sicurezza
Kaspersky Premium: sicurezza web avanzata a metà prezzo

Kaspersky Premium: sicurezza web avanzata a metà prezzo
Luca Annunziata
Pubblicato il
27 set 2007
Link copiato negli appunti