Google colto in “Falla”

closeQuesto articolo è stato pubblicato 8 anni 8 mesi 10 giorni fa! Nel mondo HiTech tutto questo tempo equivale ad ere geologiche. Per tanto ricorda che la notizia può essere passata, smentita o annullata!! Quindi effettua altre ricerche nel sito prima di raccontarlo ai tuoi amici!! Potresti fare una figuraccia...

Alcuni ricercatori di sicurezza hanno, in questi giorni, segnalato diverse falle in alcuni servizi di Google come: Google Maps e Gmail. Attraverso queste falle è possibile falsificare le pagine di accesso oppure per operare attività di SPAM.

Già diversi anni fa un ricercatore italiano, Salvatore Aranzulla, aveva scovato una falla in Google Search che permetteva di inserire codice nelle sue pagine semplicemente scrivendolo nella barra degli URL. Questo tipo di tecnica è chiamate Cross Site Scripting, potete avere maggiori informazioni su Wikepida a questo indirizzo: Cross-Site Scripting.

Tornando ai giorni nostri passiamo da Aviv Raff, noto ricercatore di sicurezza impegnato nel rendere il web un mondo più sicuro. La scoperta è stata effettuata da Raff circa sei mesi fa, ecco cosa si legge sul suo blog all’articolo “Sharing is not always a good thing”:

“Google.com soffre di una vulnerabilità denominata: cross-domain web-application sharing security design flaw. Ci sono diverse applicazioni web di Google che sono accessibili da molti sottodomini di google.com. Le seguneti sono quelle applicazioni e sottodomini:

  • Google Maps (maps.google.com)
  • Google Mail (mail.google.com)
  • Google Images (images.google.com)
  • Google News (news.google.com)
  • Google.com (Google Search, Google Accounts, Google Apps, Google History, etc.)

Ecco un esempio di Google News mostrato tramite Google Maps: http://maps.google.com/news?sa=N&tab=ln.”

Come potete notare dall’esempio riportato da Raff la pagina mostrata è quella di Google News, fin qui non c’è nessun problema; provate però a guardare la barra degli indirizzi… Appunto l’URL è quello di Google Maps!!

Vi chiederete che problema può portare questa vulnerabilità?!? Bè di per se niente di brutto, ma pensate se viene scovata una falla, per esempio, di XSS su Google Maps; questa in cascata può poi essere applicata a tutti i sottodomini di Google!

Per chi non lo sapesse esistono diverse falle XSS su Google scoperte e mai sistemate da Big G, l’elenco lo potete trovare qui su XSSed.com.

Come se non bastasse un ricercatore di GNUCITIZEN.org ha scoperto come è possibile sfruttare una falla di “Frame Injection” su Gmail. In pratica tramite un indirizzo URL creato ad-hoc è possibile far apparire su GMAIL una pagina di log-in fasulla dalla quale è possibile, per esempio, rubare dati sensibili.

Ecco l’indirizzo dell’avviso: “Frame Injection Vulnerabilities” in cui è possibile visualizzare l’esempio. Invece qui potete leggere un approfondimento su come funziona un attacco di tipo Frame Injection.

Google è stato informato di queste vulnerabilità diversi giorni fa, ma per ora non è ancora stato sistemato alcun chè.

Tu cosa ne pensi?