Gmail e altre applicazioni Google mettono a rischio la sicurezza dell'utente?

Gmail e altre applicazioni Google mettono a rischio la sicurezza dell'utente?

GNUCitizen.org ha pubblicato informazioni relative ad alcune vulnerabilità che affliggono vari servizi di Google

di Fabio Boneschi pubblicata il , alle 12:33 nel canale Sicurezza
Google
 

Nei giorni scorsi sono stati pubblicati alcuni allarmanti dettagli relativi alla potenziale vulnerabilità di alcuni servizi offerti da Google: le risorse interessate, stando a quanto riportato da Information Week, sarebbero Gmail.com, maps.google.com, images.google.com, news.google.com, mail.google.com.

Le informazioni diffuse da GNUCitizen.org segnalano anche un proof-of-concept code. Di fondo, un attacco di tipo frame injection consentirebbe a malintenzionati di realizzare una sorta di "fake login page" in cui l'utente, a propria insaputa, inserirebbe le proprie credenziali di accesso ai servizi di Google.

Google è stata informata di queste problematiche di sicurezza lo scorso aprile ma da tale data, stando a quanto riferito da Aviv Raff di GNUCitizen.org, non sarebbe stato preso alcun provvedimento. Nei giorni scorsi è stata presa la decisione di divulgare le informazioni e il proof of concept citato.

Information Week riporta anche la dichiarazione di Google che si dice informata sui fatti e sulle modalità in cui la vulnerabilità si potrebbe rivelare pericoloso, inoltre, segnala il proprio impegno al fine di minimizzare i possibili danni riconducibili a tali problemi di sicurezza.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

30 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
gas7813 Ottobre 2008, 12:54 #1
Non vorrei dire stupidaggini..
Il frame injection non era un problema di Explorer ?
E' anche un tipo di attacco ad un server ?
MarK_kKk13 Ottobre 2008, 13:24 #2
va beh, a me è arrivato un cliente ke ha aperto una mail delle poste italiane (ovviamente contraffatta) ke gli comunicava ke gli spettava un rimborso di 200€.
Non sto a dirvi ke cosa non ho trovato in quel pc XD
.:LoZar:.13 Ottobre 2008, 13:33 #3
Originariamente inviato da: MarK_kKk
va beh, a me è arrivato un cliente ke ha aperto una mail delle poste italiane (ovviamente contraffatta) ke gli comunicava ke gli spettava un rimborso di 200€.
Non sto a dirvi ke cosa non ho trovato in quel pc XD


alla faccia della privacy...
inkpapercafe13 Ottobre 2008, 13:39 #4
Baccalà il cliente.
Possibile che ci sia ancora qualcuno che ci caschi?
Ci ho cuginetti di 10 anni ben più svegli.
marchigiano13 Ottobre 2008, 13:40 #5
giusto qualche giorno fa mi chiedevo qual'è la mail più sicura come protezione password e recupero in caso di furto o magari avvisi di accesso o tentato accesso... chi offre tali servizi?
minatoreweb13 Ottobre 2008, 13:48 #6

Non ho capito bene

Scusate ma l'articolo non mi sorge ben comprensibile, sarà per la mia scarsa conoscenza pero' potevate spiegare meglio. Perchè solo con alcuni servizi di Google? Ma non è un problema anche di altri sistemi ospitati con domini multipli? Ma se voglio creare un pagina fasulla non legittima alla quale un utente da nome e password perchè dovrei usare un attacco frame injection? Forse cosi' non devo bypassare i filtri XSS/HTML e neanche violare il server target? Perchè non dovrei usare le solite falle del tcp/ip? Ma da questo articolo molto vago non ne ho capito proprio nulla. L'unica cosa certa che mi dispiace è il fatto di sapere di avere la mail meno sicura.
Visron13 Ottobre 2008, 13:57 #7
Originariamente inviato da: inkpapercafe
Baccalà il cliente.
Possibile che ci sia ancora qualcuno che ci caschi?
Ci ho cuginetti di 10 anni ben più svegli.



Originariamente inviato da: marchigiano
giusto qualche giorno fa mi chiedevo qual'è la mail più sicura come protezione password e recupero in caso di furto o magari avvisi di accesso o tentato accesso... chi offre tali servizi?

se i server fallano cosi' ( ed i server di Google sono tutti con Linux) = nessuno ..ovvero quando tu vai sul sito e ti loggi poi ti rubano user , passw etc
Visron13 Ottobre 2008, 13:59 #8
Originariamente inviato da: minatoreweb
Scusate ma l'articolo non mi sorge ben comprensibile, sarà per la mia scarsa conoscenza pero' potevate spiegare meglio. Perchè solo con alcuni servizi di Google? Ma non è un problema anche di altri sistemi ospitati con domini multipli? Ma se voglio creare un pagina fasulla non legittima alla quale un utente da nome e password perchè dovrei usare un attacco frame injection? Forse cosi' non devo bypassare i filtri XSS/HTML e neanche violare il server target? Perchè non dovrei usare le solite falle del tcp/ip? Ma da questo articolo molto vago non ne ho capito proprio nulla. L'unica cosa certa che mi dispiace è il fatto di sapere di avere la mail meno sicura.
perche' mentre ti logghi sul sito Google per i vari servizi sotto mascherato col frame i dati passano ad un altro sito = quello dell'hacker per prenderteli
gas7813 Ottobre 2008, 14:14 #9
Originariamente inviato da: Visron
perche' mentre ti logghi sul sito Google per i vari servizi sotto mascherato col frame i dati passano ad un altro sito = quello dell'hacker per prenderteli


perdona la mia ignoranza.. ma il problema e' che hanno bucato i server di google e quindi sono riusciti a mettere dei pezzi che raccolgono le password o giocano sul fatto che magari uno sbaglia indizizzo e va su www goggle.com (editato, altrimenti lo prendeva come link) e questo sito si maschera da google ?
Visron13 Ottobre 2008, 14:31 #10
Originariamente inviato da: gas78
perdona la mia ignoranza.. ma il problema e' che hanno bucato i server di google e quindi sono riusciti a mettere dei pezzi che raccolgono le password o giocano sul fatto che magari uno sbaglia indizizzo e va su www goggle.com (editato, altrimenti lo prendeva come link) e questo sito si maschera da google ?
la prima

ciao

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^