Bug importante in una API di Google

Bug importante in una API di Google

Un bug all'interno di Google Apps Script API rivelava l'indirizzo email dell'utente. Problema per il momento risolto

di Fabio Boneschi pubblicata il , alle 11:46 nel canale Sicurezza
Google
 

Per i tecnici di Google quello che si è appena concluso è stato un fine settimana difficile, infatti è stato rilevato un grave bug di sicurezza in Google Apps Script API . Il problema al momento pare risolto, anche se nelle prime ore dalla scoperta ha destato non poca preoccupazione, infatti bastava che l'utente con il proprio browser web navigasse su uno specifico sito mentre era autenticato sul proprio account Gmail per vedersi recapitare una email.

Il bug aveva la capacità di rilevare l'indirizzo email dell'utente e proprio su tale casella di posta elettronica veniva inviato un messaggio. I possibili ambiti di una vulnerabilità simile sono presto immaginabili: phishing, più banalmente spam o più complicate e macchinose strategie. A far preoccupare è che dalla semplice visualizzazione di una pagina web venga identificato l'indirizzo email dell'utente.

TechCrunch.com ha pubblicato una dettagliata descrizione del problema e viene sottolineato come anche le modalità di "navigazione in incognito" non offrano la sufficiente protezione in questo specifico caso. Google ha già annunciato la risoluzione del problema all'interno delle Google Apps Script API: "Abbiamo rapidamente risolto il problema nelle Google Apps Script API che hanno permesso l’invio di email agli utenti Gmail senza il loro permesso se avessero visitato siti web appositamente sviluppati ed abbiamo disabilitato la funzionalità. Suggeriamo segnalazioni responsabili di potenziali problemi di sicurezza alla casella email security@google.com".

Al momento sul blog di Google dedicato alla sicurezza non sono state pubblicate ulteriori informazioni relative al problema rilevato e risolto.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
predator8722 Novembre 2010, 12:08 #1
Io ho gmail perennemente aperto
Ma non mi è mai arrivato nulla fortunatamente.. Chissà che sito doveva essere
devilred22 Novembre 2010, 12:48 #2
meno male che e' solo un API, che succede se fosse stato tutto l'alveare??
porcamucca22 Novembre 2010, 13:04 #3
Originariamente inviato da: devilred
meno male che e' solo un API, che succede se fosse stato tutto l'alveare??


mbah
gscaparrotti22 Novembre 2010, 16:38 #4
Originariamente inviato da: devilred
meno male che e' solo un API, che succede se fosse stato tutto l'alveare??





Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^