Il popolare servizio mail di Google risulterebbe esposto ad attacchi di tipo Cross-Site Request Forgery che permetterebbe di modificare la password dell’utente.

A quanto pare risulta che di questa grave vulnerabilità, Google ne fosse a conoscenza già da questa estate!

Ma andiamo con ordine cronologico: la falla è stata scoperta da Vicente Aguilera Diaz nel luglio del 2007 e comunicata privatamente a Google nel mese successivo

Nel gennaio del 2008, a circa 6 mesi di distanza, Google comunica al team di ricerca l’intenzione di non prendere in seria considerazione la vulnerabilità poiché scarsamente significativa e scarsamente argomentata. Nel dicembre 2008 arriva la conferma ufficiale.

In seguito alla divulgazione al pubblico della scoperta, il motore di ricerca, non intenzionato a tornare sui suoi passi, giustifica la sua scelta così: «siamo a conoscenza del rapporto da tempo e non la consideriamo una vulnerabilità significativa, poiché un exploit richiederebbe di indovinare la password della vittima nel periodo che visita il sito del potenziale attaccante. Non abbiamo ricevuto alcun rapporto di un exploit di questo tipo. [...]. Noi incoraggiamo gli utenti a scegliere una password robusta e forniamo un indicatore per aiutarli in tale compito».

Questi sono i termini cronologici della vicenda: analizziamo meglio i dettagli dell’exploit.

Nello specifico, Gmail risulta vulnerabile ad attacchi di tipo Cross-Site Request Forgery relativi alla funzionalità “Change Password“, e ciò perché l’accesso alla pagina relativa al cambio della password sarebbe garantito solamente da cookie di sessione: un malintenzionato potrebbe quindi creare una pagina contenente la funzionalità “Change Password” e di conseguenza modificare le chiavi di accesso degli utenti che si sono appena autenticati.

La cosa risulterebbe ancora più facilitata dall’uso del metodo HTTP GET al posto del più sicuro e tradizionale metodo POST.

In termini pratici, sarà sufficiente creare un pagina web contenente al suo interno numerose richieste HTTP GET al metodo “Change Password” e dirottare gli utenti Gmail su tali pagine utilizzando tecniche di social engineering: ovvero inviando email di spam, con cui si invita l’utente (che si è loggato in gmail) a visitare una pagina compromessa, sfruttando paure o debolezze tipiche (ad esempio invogliando l’utente a visitare un sito per adulti, oppure comunicandogli che il suo account è in pericolo, invitando a cliccare sul link per risolvere eventuali problemi).

Da tutto ciò emerge chiaramente una doppia preoccupazione:

1. ricordatevi sempre di non cliccare mai su link sconosciuti,
2. una volta che finite di leggere la vostra email, dovete ricordavi di fare il “Log Out” dall vostro account e non limitarvi a chiudere la pagina di Gmail, perchè altrimenti l’account rimane ancora aperto!!!

Vuoi tutti gli aggiornamenti di IbA's Blog in tempo reale? Abbonati ai nostri Feed RSS.