Nuove vulnerabilità per i servizi Google

Una serie di segnalazioni riguardanti falle critiche presenti in alcuni servizi offerti da Google sembrano minare in questi ultimi giorni il modello di sicurezza offerto dal famoso motore di ricerca. Le vulnerabilità riguardano Gmail, Google Search Appliance, il software di foto sharing Picasa e Google Urchin Web Analytics 5.

Il servizio maggiormente a rischio si rivela essere Gmail, il quale presenta una duplice vulnerabilità. La prima, illustrata sul blog di Fernando Beford, risiede nella cosiddetta ‘polls application’, una parte di Google Gruppi, attraverso la quale è possibile carpire informazioni dagli account Gmail. Fortunatamente Beford ha annunciato nel suo blog la risoluzione della vulnerabilità da parte del motore di ricerca. La seconda e più recente falla, venuta alla luce grazie all’hacker Petko Petkov, permette di iniettare un file all’interno della lista dei filtri di Gmail comportando così un reindirizzamento della posta ad un indirizzo arbitrario. Si tratta di un problema particolarmente insidioso in quanto l’attacco rimane residente in concomitanza con la presenza del filtro maligno, anche nel caso la vulnerabilità iniziale che ha permesso l’aggressione venisse corretta da Google.

Un cross-site scripting bug affligge invece il servizio aziendale Google Search Appliance mentre Google Picasa risulta essere vulnerabile ad un exploit in grado di permettere ad un cracker di prelevare delle immagini presenti all’interno del portale direttamente dall’hard disk delle vittime. Google Urchin Web Analytics 5 (la versione installabile di Google Analytics) presenta una vulnerabilità XSS nella pagina di accesso in grado di permettere tramite un exploit di inviate user name e password ad un utente malintenzionato. Il problema è stato confermato dal team di Google, il quale è attualmente al lavoro per sviluppare un rimedio.