Gli esperti di sicurezza sostengono ormai da tempo che, in termini di sicurezza, certi servizi e applicazioni Web 2.0 sono un vero colabrodo. Non sembra fare eccezione nemmeno il celeberrimo YouTube , recente protagonista di due storie di malware e, secondo il ricercatore di sicurezza Christian Matthies , zeppo di vulnerabilità.
The Register riporta come Matthies abbia tentato di stabilire un contatto con lo staff di Google per mesi , ricevendo però una risposta alle proprie email solo la scorsa settimana, in seguito alla minaccia di rendere di pubblico dominio le falle da lui scovate in YouTube.
L’hacker sostiene che il servizio di Google, tra i più trafficati al mondo, contiene oltre una quarantina di debolezze , alcune delle quali potrebbero essere sfruttate per infettare il profilo di un utente con un worm capace, tra le altre cose, di rubare i dati di log-in.
Nelle ultime settimane sia Google che Yahoo! hanno dovuto correggere in tutta fretta diversi bug di tipo cross-site scripting (XSS) potenzialmente in grado di mettere a rischio la sicurezza di milioni di utenti. La società Secure Computing ha spiegato che alcuni di questi bug sono stati recentemente sfruttati dai cracker per celare un trojan all’interno di falsi video . Sebbene i due post siano stati rapidamente cancellati dagli amministratori di Google, Secure Computing sostiene che i due incidenti rappresentano un campanello di allarme da non sottovalutare .
“Social network come YouTube attraggono ogni giorno decine di milioni di persone, in larga parte giovanissimi”, ha detto Paul Henry, vice president of technologies di Secure Computing. “È facile comprendere perché l’attenzione di cracker e creatori di malware si stia rivolgendo sempre più frequentemente a questi servizi. I malware scoperti su YouTube potrebbero rappresentare una nuova tipologia di attacco”.
Henry ha spiegato che quando gli utenti tentavano di guardare i falsi video venivano bombardati da pop-up pubblicitari ed eventualmente infettati dal cavallo di Troia Zlob : una volta nel PC, quest’ultimo è in grado di scaricare altri malware e di trasformare il sistema di una macchina zombi.