Gmail a rischio con le connessioni WiFi

Gli account di posta elettronica gestiti tramite Yahoo Mail, Gmail, MySpace e molti altri service Web 2.0 potrebbero essere facile preda di utenti malintenzionati nel caso l’accesso alla rete sia avvenuto tramite un hotspot wireless. A rivelare la scoperta è Rob Graham (CEO di Errata Security) nel corso di una conferenza tenutasi al Black Hat 2007.

Graham è infatti riuscito a prendere in controllo di un account Gmail senza particolare problemi semplicemente “fiutando” il traffico della rete. Il procedimento si è rivelato relativamente semplice: come prima cosa il segnale WiFi è stato catturato attraverso uno strumento chiamato Ferret (scritto dallo stesso Graham), il quale ha poi estratto e catturato le informazioni riguardanti i cookie e la Session ID utilizzati dal browser e relativi alla sessione in corso. I siti web infatti si basano su cookie (contenenti la user name e la password) non criptati e sulla cosiddetta Session ID per validare il browser. Se un cracker riesce a carpire tali dati, può copiarli e utilizzarli per accedere indisturbato alla casella di posta elettronica di un ignaro utente: «se “sniffo” la vostra connessione Gmail e ottengo tutti i vostri cookie e li utilizzo nel mio Gmail, divento voi. Vi clono», ha spiegato Graham nel corso della dimostrazione. «Il Web 2.0 è ora fondamentalmente violato».

Utilizzare il protocollo di sicurezza SSL può fornire un certo margine di sicurezza, ma Graham pone l’accento sul fatto che ogni sessione non interamente coperta da tale protocollo risulta ancora vulnerabile agli attacchi: molti portali di posta elettronica abilitano infatti il protocollo SSL solamente dopo il passaggio dei cookie, rendendo ancora possibile la loro identificazione e cattura. Inoltre, poichè i Session ID rimangono nella gran parte dei casi validi per un periodo indeterminato di tempo, una volta carpiti, possono essere utilizzati in modo malevolo per anni, anche nel caso l’utente cambi la propria password.

L’unica soluzione al problema proposta da Graham consiste nell’utilizzare i servizi Google selezionando le opzioni che mantengono criptati Gmail, Google Calendar e altri strumenti per l’intera sessione (ulteriori informazioni sono disponibili sulla Defcon Survival Guide). L’allarme è esteso anche al di fuori dei soli servizi webmail: come segnala PMI.it «anche Myspace et similia sono soggetti al furto di dati tramite cookies e inoltre, avvertono gli hacker, sono un formidabile veicolo per la diffusione di file multimediali, sia in forma di mp3 che di video. Tramite alcune falle presenti nei lettori multimediali, i cyber-criminali sono in grado di sfruttare questi file come cavalli di troia per compromettere il PC dell’utente infettato».