Bug importante in una API di Google

Bug importante in una API di Google

Un bug all'interno di Google Apps Script API rivelava l'indirizzo email dell'utente. Problema per il momento risolto

di pubblicata il , alle 11:46 nel canale Sicurezza
Google
 

Per i tecnici di Google quello che si è appena concluso è stato un fine settimana difficile, infatti è stato rilevato un grave bug di sicurezza in Google Apps Script API . Il problema al momento pare risolto, anche se nelle prime ore dalla scoperta ha destato non poca preoccupazione, infatti bastava che l'utente con il proprio browser web navigasse su uno specifico sito mentre era autenticato sul proprio account Gmail per vedersi recapitare una email.

Il bug aveva la capacità di rilevare l'indirizzo email dell'utente e proprio su tale casella di posta elettronica veniva inviato un messaggio. I possibili ambiti di una vulnerabilità simile sono presto immaginabili: phishing, più banalmente spam o più complicate e macchinose strategie. A far preoccupare è che dalla semplice visualizzazione di una pagina web venga identificato l'indirizzo email dell'utente.

TechCrunch.com ha pubblicato una dettagliata descrizione del problema e viene sottolineato come anche le modalità di "navigazione in incognito" non offrano la sufficiente protezione in questo specifico caso. Google ha già annunciato la risoluzione del problema all'interno delle Google Apps Script API: "Abbiamo rapidamente risolto il problema nelle Google Apps Script API che hanno permesso l’invio di email agli utenti Gmail senza il loro permesso se avessero visitato siti web appositamente sviluppati ed abbiamo disabilitato la funzionalità. Suggeriamo segnalazioni responsabili di potenziali problemi di sicurezza alla casella email [email protected]".

Al momento sul blog di Google dedicato alla sicurezza non sono state pubblicate ulteriori informazioni relative al problema rilevato e risolto.

I migliori sconti su Amazon oggi
-26%

Apple Portatile MacBook Air 13'' con chip M4 (2025): progettato per Apple Intelligence, display Liquid Retina da 13,6'', 16GB di memoria unificata, 256GB di archiviazione SSD, Touch ID; Argento

1149.00 849.00 Compra ora
-26%

LG SQC2 Soundbar TV 300W, 2.1 Canali con Subwoofer Wireless, Soundbar Dolby Digital, Bluetooth, Ingresso Ottico, Ingresso AUX 3,5mm, USB

107.29 Compra ora
-32%

FRITZ!Repeater 1200 AX Edition International, Ripetitore - Wi-Fi 6 extender Dual Band con 2.400 Mbit/s (5 GHz) & 600 Mbit/s (2,4 GHz), Mesh, Access Point, 1x Gigabit LAN, Interfaccia in italiano

95.99 64.99 Compra ora
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
predator8722 Novembre 2010, 12:08 #1
Io ho gmail perennemente aperto
Ma non mi è mai arrivato nulla fortunatamente.. Chissà che sito doveva essere
devilred22 Novembre 2010, 12:48 #2
meno male che e' solo un API, che succede se fosse stato tutto l'alveare??
porcamucca22 Novembre 2010, 13:04 #3
Originariamente inviato da: devilred
meno male che e' solo un API, che succede se fosse stato tutto l'alveare??


mbah
gscaparrotti22 Novembre 2010, 16:38 #4
Originariamente inviato da: devilred
meno male che e' solo un API, che succede se fosse stato tutto l'alveare??





Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^