mercoledì 24 novembre 2010

Grave vulnerabilità in Google apps: hacker invia email a nome di Google



Un hacker armeno ha dimostrato un serio problema di sicurezza in Google Apps durante il fine settimana, che gli ha permesso di raccogliere indirizzi e-mail da parte degli utenti Gmail e inviare loro messaggi molto credibili a nome di Google. L'attacco è stato avviato attraverso una pagina di Blogspot appositamente predisposta. Qualsiasi utente loggato in Gmail che ha visitato questa pagina, subito ha ricevuto una mail che sembrava provenire dalla società.

Secondo Graham Cluley, senior technology consultant di Sophos, fornitore del software antivirus, la cosa interessante di questo attacco è che le email canaglia non avevano presentato le consuete intestazioni contraffatte. Sono venute da un indirizzo noreply@google.com, attraverso maestro.bounces.google.com e sono state firmate da google.com, che li rende molto adatte per il phishing. Uno scenario di attacco comporterebbe la diffusione di un link alla pagina di Blogspot attraverso Facebook promettendo un video intrigante o utilizzando qualche altro richiamo. I visitatori che si registrano in Gmail potrebbero poi ricevere una e-mail predisposta, ad esempio un allarme di sicurezza da parte di Google, che li rimanderebbero a una pagina di phishing imitando il template della pagina. I dettagli della vulnerabilità non sono stati comunicati al pubblico e in una mail a TechCrunch l'hacker si è presentato come un ragazzo armeno di 21 anni di nome Vahe G. L'hacker ha proposto il proprio bug sul sito guntada.blogspot.com, dunque utilizzando un server gestito direttamente da Google. Una mail di segnalazione è stata inoltre inviata al team di sicurezza di Google senza però che fosse giunta alcuna risposta.


E' stata la mail inviata a TechCrunch che ha permesso di portare la storia di pubblico dominio e a questo punto Google è intervenuto chiudendo il sito contenente l’exploit. Poi un messaggio a TechCrunch per confermare l’accaduto: «Teniamo in seria considerazione i possibili problemi di sicurezza ed il nostro team sta attivamente investigando quest’ultimo. Daremo presto informazioni in proposito». Ciò è strano considerando che l'azienda oggi offre ricompense per le vulnerabilità gravi trovate nei suoi servizi web. Da questo bug l'hacker avrebbe potuto ottenere 500 $ o più, se l'avesse segnalato per le vie appropriate. Quello che è chiaro è invece il fatto che il bug sia di grave entità e che sia necessario da parte di Google un sollecito chiarimento in merito. A seguito della mail inviata dall'hacker al team di TechCrunch, una volta visitato il sito, si è visto recapitata in automatico una email nella quale si comunica (non senza ironia) che la visita è stata notata. Ma come ha fatto il sito ad avere l’indirizzo email del visitatore, agendo peraltro senza problemi anche sui navigatori in modalità “Incognito”? Il grave problema risiedeva nel sistema Google Friend Connect. L’effetto del bug ha messo in evidenza in pratica la capacità di captare l’indirizzo email del visitatore e di farne l’uso preferito.

Email inviata a TechCrunch dopo la visita al sito contenente l'exploit

Potrebbe essere un modo per raccogliere indirizzi email a fini di spam o un sistema utile per agire con finalità di phishing ai danni degli utenti. Inoltre potrebbe essere un modo pericoloso per identificare gli utenti che navigano su siti, per esempio, “a luci rosse”. Sul blog l'hacker rincarava la dose puntando il dito contro un aspetto particolare ed ulteriore della questione: «Gli utenti utilizzanti Government Google Apps lo sanno?». Le prime analisi identificavano il problema nel contesto di Google Friend Connect, quindi con la capacità di sottrarre l’indirizzo email dell’utente captando semplicemente le informazioni dai precedenti login su siti Google. Il gigante della ricerca ha confermato l'esistenza del difetto nel suo Google Apps Script API e ha detto che è stato rapidamente risolto:
«Abbiamo rapidamente risolto il problema della API di Google Apps Script che avrebbe consentito di inviare delle email agli utenti Gmail senza il loro permesso, se avessero visitato un sito web appositamente progettato mentre erano nel loro account. Abbiamo immediatamente rimosso il sito che ha dimostrato il problema, e disattivato la funzionalità subito dopo. Incoraggiamo la divulgazione responsabile di potenziali problemi alle applicazione potenziali problemi scrivendo a security@google.com»
Il problema era grave, insomma, ma la risoluzione è stata immediata. Tuttavia, i problemi di sicurezza per questo tipologie di problemi sono una minaccia reale, dato che sempre più persone si basano su comunicazioni di posta elettronica, e i loro fornitori di servizi webmail non forniscono una soluzione affidabile, di filtro della casella di posta. Questo è stata una grave falla sulla sicurezza.

Nessun commento:

Posta un commento