Purtroppo i servizi con più utenti sono quelli più attacchi subiti e quelli da cui ovviamente ci si aspetta un grado maggiore di sicurezza. È inevitabile parlare quindi di Google e dei sui servizi offerti ogni giorno a milioni di utenti.
In questo caso dobbiamo però sottolineare una vulnerabilità mostrata dal servizio di mail di Google, Gmail, che, a quanto sembra, potrebbe permettere a qualche persona interessata di reperire contatti e mail personali.
È quello che ha dimostrato Petko Petkov che è riuscito, senza fini di lucro, ha codificare un programma che rubasse i contatti di uno specifico account insieme alle incoming mail dell’ignaro utente.
Ovviamente l’intento era dimostrativo e non ha avuto conseguenze pesanti. Tuttavia, come sottolineano molti esperti, e non solo, la pericolosità della vulnerabilità e tanto alta quanto maligne le mani di chi la usa.
Utilizzando uno stratagemma simile sarebbe infatti possibile eseguire un forward di tutte le mail entranti in un qualsiasi account Gmaill.
L’exploit sperimentato utilizzava le tecniche di cross-site scripting e vulnerabilità XSS. Al malintenzionato basterebbe che la vittima si fosse autenticata in gmail e selezionasse un link ad hoc e ovviamente maligno. A questo punto sarebbe possibile intervenire sui cookie e su tutte le comunicazioni con Gmail e quindi inviare le mail in ingresso anche ad un altro account mail.
Tra l’altro il periodo di vita di un cookie Gmail è molto lungo e se non sono impostate diversamente le regole di protezione della privacy nel browser potrebbe offrire al cracker la possibilità di utilizzare questo stratagemma anche per due anni.
Tralasciando le ripercussioni che potrebbero avere alcune società che utilizzano il servizio di Gmail oppure che lasciano libero uso delle mail di Google da parte dei dipendenti, possiamo dire che questa vicenda è lo scotto che dobbiamo subire per avere la comodità dei servizi offerti dalla rete.
A chi di noi non fa comodo avere una mail capiente, rapida e semplice da utilizzare, che mantenga memorizzati tutti i nostri contatti, che ci permetta di non buttare mai via nessuna mail, ecc?
A chi di noi non fa comodo un sistema che memorizzi i nostri username e password (e ci permetta di non ridigitarli ogni volta), i nostri bookmark, i nostri moduli, per condividerli e poterli quindi utilizzare da qualsiasi computer presente in rete?
