QR code per la pagina originale

Falla in Gmail, ma Google sminuisce

Il servizio Gmail risulterebbe vulnerabile ad attacchi di tipo Cross-Site Request Forgery in grado di modificare le password degli utenti. La falla, segnalata a Google fin dall'estate del 2007, non è però mai stata presa in seria considerazione

,

Sulla base di quanto illustrato da un ricercatore della Internet Security Auditors (IsecAuditors), Gmail risulterebbe vulnerabile ad attacchi di tipo Cross-Site Request Forgery (CSRF) in grado di modificare le password dei suoi utenti, permettere l’accesso alle email o causare attacchi di tipo denial-of-service (DoS) ai diversi account del servizio. La falla, scoperta da Vicente Aguilera Diaz nel luglio del 2007 e comunicata a Google nel mese successivo, non è mai stata presa in seria considerazione da parte del motore di ricerca poiché considerata scarsamente significativa.

Secondo il resoconto pubblicato dal ricercatore, Gmail sarebbe vulnerabile ad attacchi di tipo Cross-Site Request Forgery relativi alla funzionalità “Change Password”; l’accesso alla pagina relativa al cambio della password sarebbe infatti garantito solamente dal cookie di sessione inviato automaticamente al browser. Un utente malintenzionato potrebbe quindi creare una pagina contenente la funzionalità “Change Password” e di conseguenza modificare le chiavi di accesso degli utenti che si sono appena autenticati; l’operazione risulterebbe facilitata dall’utilizzo nella richiesta della funzionalità “Change Password”del metodo HTTP GET al posto del più sicuro e tradizionale metodo POST.

Un cybercriminale potrebbe quindi realizzare una pagina Web contenente al suo interno numerose richieste HTTP GET al metodo “Change Password” e dirottare gli utenti Gmail su tali pagine utilizzando tecniche di social engineering; essendo quest’ultimi già loggati al servizio, risulterà possibile cercare di modificare le loro password, eludendo al contempo le restrizioni imposte dai CAPTCHA. Ulteriori dettagli possono essere ritrovati all’interno del proof-of-concept illustrato per la prima volta dallo stesso Vicente Aguilera Diaz.

Nel gennaio del 2008, a circa 6 mesi di distanza dal primo avviso, Google comunica al team di ricerca l’intenzione di non prendere in seria considerazione la vulnerabilità poiché scarsamente significativa e scarsamente argomentata. Nel dicembre 2008 arriva la conferma ufficiale: Google non intende cambiare il suo punto di vista sull’argomento. In seguito alla divulgazione al pubblico della scoperta, il motore di ricerca, seppur non intenzionato a tornare sui suoi passi, giustifica la sua scelta attraverso un portavoce: «siamo a conoscenza del rapporto da tempo e non la consideriamo una vulnerabilità significativa, poiché un exploit richiederebbe di indovinare la password della vittima nel periodo che visita il sito del potenziale attaccante. Non abbiamo ricevuto alcun rapporto di un exploit di questo tipo. […]. Noi incoraggiamo gli utenti a scegliere una password robusta e forniamo un indicatore per aiutarli in tale compito».

Tuttavia, come sottolinea Sophos, «il 41% degli utenti utilizza la stessa password per tutti i siti web ai quali accede». Per questo motivo la precauzione da tenere è duplice: da una parte occorre utilizzare password differenziate e composite, dall’altra occorre porre attenzione alla propria navigazione così da evitare tranelli vari. Per contro, non resta che attendere che Gmail e servizi omologhi facciano la loro parte per porre una pezza alle vulnerabilità che vengono a galla nel tempo.

Notizie su: