La versione iniziale dell’articolo riferiva che il problema individuato riguardasse Google App Engine. In realtà il problema era relativo all’API per gli script di Google Apps.
Roma – Questa volta tocca a Gmail cadere vittima di una grave falla nella protezione della privacy dell’utente da parte di Google. Costruendo una pagina web apposita, uno spammer potrebbe facilmente spedire in giro per la rete posta indesiderata e questo senza nemmeno conoscere la mailbox della potenziale vittima .
Il baco è stato scovato da Vahe G., ragazzo armeno di 21 anni che aveva deciso di mostrare l’effetto pratico del problema servendosi della piattaforma di blogging di (Blogger). L’utente non doveva far altro che visitare l’URL essendo contemporaneamente loggato a un qualunque servizio di Google, a quel punto il codice nascosto nell’URL avrebbe sfruttato i cookie di autenticazione al succitato servizio per inviare direttamente una mail con oggetto e contenuto a piacimento.
L’exploit aveva la capacità di funzionare anche nella modalità di navigazione anonima – che normalmente non fornisce accesso ai cookie salvati in locale – e le email così spedite risultavano perfettamente camuffate avendo come mittente l’indirizzo standard “noreply@google.com”.
Google ha risposto a questa nuova minaccia della privacy degli utenti in maniera tempestiva, chiudendo il blog su Blogger e correggendo il baco presente nella API Apps Script della piattaforma Apps. Ma apparentemente c’è stata una mancanza di comunicazione tra Vahe G. e il Googleplex: il ragazzo sostiene di aver provato a contattare direttamente Mountain View, e di essere solo in un secondo momento passato alla dimostrazione pratica su Blogger visto il silenzio di Google sulla questione.
“Prendiamo molto sul serio i potenziali problemi di sicurezza”, ha risposto Google, prova ne sia la rimozione del blog “dimostrativo” e la correzione del baco su Google Apps che ha rimesso a posto le cose . E per quanto riguarda la comunicazione di bachi e falle di sicurezza, Google “incoraggia la divulgazione responsabile di potenziali problemi alla sicurezza delle applicazioni all’indirizzo security@google.com”.
Alfonso Maruccia