Gmail sarebbe affetta da una grave falla di sicurezza, potenzialmente in grado di trasformarla in una testa di ponte per una invasione spam sui server di tutto il mondo. A sostenerlo sono gli esperti di INSERT , un gruppo di ricerca sulla sicurezza informatica formato da ricercatori brasiliani e statunitensi, che sulle pagine del proprio sito raccontano come siamo stati in grado di far passare 4mila messaggi di posta, tutti identici, senza che alcun tipo di filtro venisse applicato.
Per il momento mancano i dettagli su come siano riusciti ad aggirare i limiti imposti da Gmail. Ma, come sanno i lettori di Punto Informatico , i metodi per eludere i controlli non mancano: anche in questo caso, secondo quanto descritto sommariamente da INSERT, la chiave per scavalcare ogni protezione sembrerebbe risiedere nell’header del messaggio, opportunamente formattato per ingannare i server.
Sfruttando questa falla, gli esperti INSERT hanno messo in piedi una sorta di mini-bot proof-of-concept : in poche ore sono riusciti ad inviare 4mila messaggi ad altrettanti destinatari, senza che il consueto limite imposto da Google di 500 destinatari per email di massa intervenisse ad impedirlo. Nonostante non si tratti di una cifra particolarmente eclatante, nel documento viene spiegato come si tratti di un limite scelto appositamente basso , e che potrebbe essere facilmente scavalcato.
Senza contare, aggiungono i ricercatori, che si tratta di un espediente basato su un solo account: moltiplicato per enne volte , come fatto comunemente dalle botnet, il risultato potrebbe essere dirompente anche, e soprattutto, alla luce della fiducia che utenti e addetti ai lavori nutrono nei confronti del servizio di posta offerto da Google e alla potenza dei suoi server.
Per dimostrare questo rischio, INSERT ha messo alla prova le blacklist e le whitelist di altri due celebri servizi: Yahoo Mail e Hotmail . A due indirizzi dei rispettivi servizi sono state inviate email con il medesimo contenuto, provenienti in un caso da un account Gmail e nell’altro da un indirizzo IP notoriamente inserito nelle liste proibite. Risultato: nessuna traccia della missiva in arrivo dal IP bannato, mentre tutto ok per la posta proveniente da Gmail.
Whitelist e blacklist costituiscono sempre più spesso la prima linea di difesa contro lo spam: la caduta di un elemento portante di questa “gerarchia della fiducia” come Gmail, spiegano quelli di INSERT, potrebbe mettere in crisi l’intero sistema , generando un’onda lunga che impedirebbe qualsiasi certezza nello stabilire chi porre nella categoria dei buoni e chi in quella dei cattivi.
La posta indesiderata potrebbe limitarsi a transitare sui server di Google per distillarsi della sua natura discutibile, e finire indiscriminatamente in ogni casella di qualunque account su Internet. Stravolgendo l’ecosistema attuale, come presagito da Ars Technica , a meno che non si corra rapidamente ai ripari.
Luca Annunziata