Discussione: [NEWS] Falla in Gmail, ma Google sminuisce
View Single Post
Old 06-03-2009, 09:43   #1
c.m.g
Senior Member
 
L'Avatar di c.m.g
 
Iscritto dal: Mar 2006
Messaggi: 22114
[NEWS] Falla in Gmail, ma Google sminuisce
06 Marzo 2009 ore 08:00 di: Tullio Matteo Fanti



Spoiler:
Quote:
Il servizio Gmail risulterebbe vulnerabile ad attacchi di tipo Cross-Site Request Forgery in grado di modificare le password degli utenti. La falla, segnalata a Google fin dall'estate del 2008, non è però mai stata presa in seria considerazione



Sulla base di quanto illustrato da un ricercatore della Internet Security Auditors (IsecAuditors), Gmail risulterebbe vulnerabile ad attacchi di tipo Cross-Site Request Forgery (CSRF) in grado di modificare le password dei suoi utenti, permettere l'accesso alle email o causare attacchi di tipo denial-of-service (DoS) ai diversi account del servizio. La falla, scoperta da Vicente Aguilera Diaz nel luglio del 2007 e comunicata a Google nel mese successivo, non è mai stata presa in seria considerazione da parte del motore di ricerca poiché considerata scarsamente significativa.


Secondo il resoconto pubblicato dal ricercatore, Gmail sarebbe vulnerabile ad attacchi di tipo Cross-Site Request Forgery relativi alla funzionalità "Change Password"; l'accesso alla pagina relativa al cambio della password sarebbe infatti garantito solamente dal cookie di sessione inviato automaticamente al browser. Un utente malintenzionato potrebbe quindi creare una pagina contenente la funzionalità "Change Password" e di conseguenza modificare le chiavi di accesso degli utenti che si sono appena autenticati; l'operazione risulterebbe facilitata dall'utilizzo nella richiesta della funzionalità "Change Password"del metodo HTTP GET al posto del più sicuro e tradizionale metodo POST.

Un cybercriminale potrebbe quindi realizzare una pagina Web contenente al suo interno numerose richieste HTTP GET al metodo "Change Password" e dirottare gli utenti Gmail su tali pagine utilizzando tecniche di social engineering; essendo quest'ultimi già loggati al servizio, risulterà possibile cercare di modificare le loro password, eludendo al contempo le restrizioni imposte dai CAPTCHA. Ulteriori dettagli possono essere ritrovati all'interno del proof-of-concept illustrato per la prima volta dallo stesso Vicente Aguilera Diaz.





Fonte: WebNews
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.
c.m.g è offline   Rispondi citando il messaggio o parte di esso