Cerca nel blog

2004/11/01

[IxT] Raffica di falle per Google

Brutto periodo per Google. Il suo servizio di posta, Gmail, è bucabile, secondo The Register.
Basterebbe infatti conoscere il nome utente (che è indicato pubblicamente nell'indirizzo della casella Gmail) per scavalcare la password che protegge la casella di posta corrispondente. L'aggressore può usare un link in formato XSS per rubare dal PC della vittima il cookie di Gmail e usarlo per autenticarsi al posto dell'utente e quindi prendere il controllo della casella.

Anche Google Desktop Search, il programma gratuito per "Googlare" il proprio computer, ha grossi problemi di sicurezza. La falla, ora risolta parzialmente da Google, consentiva (grazie a Javascript) a un sito ostile di ricevere i risultati delle ricerche fatte dall'utente nel proprio disco rigido, venendo quindi a conoscenza del contenuto del computer della vittima. Sgradevole.

Non è finita: l'italiano Salvatore Aranzulla ha snidato altre due falle nei servizi di Google. La prima riguarda ancora il Desktop Search, e consente a un aggressore di modificare le pagine delle ricerche iniettando script situati su server esterni e quindi acquisire informazioni spacciandosi per un sito affidabile:

http://theinquirer.net/?article=19323 (in inglese)

http://mirabilweb.altervista.org/pagina.php?pagina=google_bug (in italiano)

La seconda riguarda le pubblicità di Google: siccome il loro contenuto non è filtrato, si possono iniettare script che modificano le pagine che l'utente apparentemente riceve da Google, aprendo la porta a ogni sorta di truffe e attacchi basati sulla fiducia che praticamente tutti gli utenti della Rete ripongono nel celebre motore di ricerca:

http://mirabilweb.altervista.org/pagina.php?pagina=google_bug2 (italiano)

In attesa che Google rimedi a queste falle, è altamente consigliabile (come sempre) evitare ove possibile di lasciare attivi Javascript e altri linguaggi di scripting nel proprio computer durante la navigazione in Rete, come descritto in dettaglio nell'Acchiappavirus, il libro che potete sempre scaricare gratuitamente dal mio sito o, a quanto pare, procurarvi già ora in libreria (anche se la data ufficiale di pubblicazione sarebbe il 10 novembre).

Nessun commento: