c.m.g
24-11-2010, 09:50
mercoledì 24 novembre 2010
La webmail di Mountain View presterebbe il fianco agli spammer permettendo l'invio di posta elettronica (indesiderata) agli utenti che visitino un sito appositamente progettato
Roma - Questa volta tocca a Gmail cadere vittima di una grave falla nella protezione della privacy dell'utente da parte di Google. Costruendo una pagina web apposita, uno spammer potrebbe facilmente spedire in giro per la rete posta indesiderata e questo senza nemmeno conoscere la mailbox della potenziale vittima.
Il baco è stato scovato (http://www.h-online.com/security/news/item/Spam-hole-in-Google-Mail-1139762.html) da Vahe G., ragazzo armeno di 21 anni che aveva deciso di mostrare l'effetto pratico del problema servendosi della piattaforma di blogging di (Blogger). L'utente non doveva far altro che visitare l'URL essendo contemporaneamente loggato a un qualunque servizio di Google, a quel punto il codice nascosto nell'URL avrebbe sfruttato i cookie di autenticazione al succitato servizio per inviare direttamente una mail con oggetto e contenuto a piacimento.
L'exploit aveva la capacità di funzionare anche nella modalità di navigazione anonima - che normalmente non fornisce accesso ai cookie salvati in locale - e le email così spedite risultavano perfettamente camuffate avendo come mittente l'indirizzo standard "noreply@google.com".
Google ha risposto a questa nuova minaccia della privacy degli utenti in maniera tempestiva, chiudendo il blog su Blogger e correggendo il baco presente nella API App Script della piattaforma App Engine. Ma apparentemente c'è stata una mancanza di comunicazione tra Vahe G. e il Googleplex: il ragazzo sostiene (http://techcrunch.com/2010/11/20/whoa-google-thats-a-pretty-big-security-hole/) di aver provato a contattare direttamente Mountain View, e di essere solo in un secondo momento passato alla dimostrazione pratica su Blogger visto il silenzio di Google sulla questione.
"Prendiamo molto sul serio i potenziali problemi di sicurezza", ha risposto Google, prova ne sia la rimozione del blog "dimostrativo" e la correzione del baco su App Engine che ha rimesso a posto le cose. E per quanto riguarda la comunicazione di bachi e falle di sicurezza, Google "incoraggia la divulgazione responsabile di potenziali problemi alla sicurezza delle applicazioni all'indirizzo security@google.com".
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3043249/PI/News/gmail-posta-elettronica-col-buco.aspx)
La webmail di Mountain View presterebbe il fianco agli spammer permettendo l'invio di posta elettronica (indesiderata) agli utenti che visitino un sito appositamente progettato
Roma - Questa volta tocca a Gmail cadere vittima di una grave falla nella protezione della privacy dell'utente da parte di Google. Costruendo una pagina web apposita, uno spammer potrebbe facilmente spedire in giro per la rete posta indesiderata e questo senza nemmeno conoscere la mailbox della potenziale vittima.
Il baco è stato scovato (http://www.h-online.com/security/news/item/Spam-hole-in-Google-Mail-1139762.html) da Vahe G., ragazzo armeno di 21 anni che aveva deciso di mostrare l'effetto pratico del problema servendosi della piattaforma di blogging di (Blogger). L'utente non doveva far altro che visitare l'URL essendo contemporaneamente loggato a un qualunque servizio di Google, a quel punto il codice nascosto nell'URL avrebbe sfruttato i cookie di autenticazione al succitato servizio per inviare direttamente una mail con oggetto e contenuto a piacimento.
L'exploit aveva la capacità di funzionare anche nella modalità di navigazione anonima - che normalmente non fornisce accesso ai cookie salvati in locale - e le email così spedite risultavano perfettamente camuffate avendo come mittente l'indirizzo standard "noreply@google.com".
Google ha risposto a questa nuova minaccia della privacy degli utenti in maniera tempestiva, chiudendo il blog su Blogger e correggendo il baco presente nella API App Script della piattaforma App Engine. Ma apparentemente c'è stata una mancanza di comunicazione tra Vahe G. e il Googleplex: il ragazzo sostiene (http://techcrunch.com/2010/11/20/whoa-google-thats-a-pretty-big-security-hole/) di aver provato a contattare direttamente Mountain View, e di essere solo in un secondo momento passato alla dimostrazione pratica su Blogger visto il silenzio di Google sulla questione.
"Prendiamo molto sul serio i potenziali problemi di sicurezza", ha risposto Google, prova ne sia la rimozione del blog "dimostrativo" e la correzione del baco su App Engine che ha rimesso a posto le cose. E per quanto riguarda la comunicazione di bachi e falle di sicurezza, Google "incoraggia la divulgazione responsabile di potenziali problemi alla sicurezza delle applicazioni all'indirizzo security@google.com".
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3043249/PI/News/gmail-posta-elettronica-col-buco.aspx)