Gmail e i servizi cloud offerti da Google devono offrire una maggiore protezione dei dati degli utenti. Non hanno dubbi in proposito i firmatari di una lettera aperta da poco indirizza al CEO di Mountain View, Eric Schmidt. Gli autori della missiva sono ricercatori e docenti universitari preoccupati dalla possibilità che i servizi online offerti da Google possano portare al furto di dati e a non pochi rischi legati alla privacy. Una tesi sostanzialmente respinta dal motore di ricerca.
«Le impostazioni predefinite di Google mettono inutilmente a rischio i consumatori. I servizi di Google proteggono username e password degli utenti da occhi indiscreti e da possibili furti. Tuttavia, quando un utente compone email, documenti, fogli di calcolo, presentazioni e appuntamenti sui calendari, questi dati potenzialmente sensibili vengono trasferiti sui server di Google in chiaro, consentendo a chiunque con gli opportuni strumenti di rubare tali informazioni» scrivono i 36 esperti nella lettera aperta indirizza al primo responsable di Mountain View, sottolineando quella che appare come una grave carenza di sicurezza ai loro occhi.
Sotto accusa è principalmente l’utilizzo dello standard di sicurezza HTTPS per un numero limitato di operazioni effettuate attraverso i servizi cloud offerti dal colosso delle ricerche online: «Google utilizza lo standard Hypertext Transfer Protocol Secure (HTTPS) come tecnologia per criptare i dati e proteggere le informazioni inserite dagli utenti per effettuare i login. Tuttavia, il sistema di criptazione non è abilitato come impostazione predefinita per proteggere altre informazioni trasmesse dagli utenti attraverso Google Mail, Docs e Calendar. Così, chiunque utilizzi i servizi di Google da una connessione pubblica (come un network aperto wireless in una caffetteria, in biblioteca o a scuola) rischia di subire il furto dei dati sensibili, anche da utenti malintenzionati poco preparati. Gli strumenti per rubare le informazioni sono ampiamente disponibili su Internet».
Gli autori della lettera sottolineano come buona parte dei servizi cloud offerti da Google possano essere manualmente configurati per utilizzare sempre lo standard HTTPS, sottraendo i propri dati dagli sguardi indiscreti in Rete. Tale operazione richiede però un certo grado di consapevolezza da parte degli abbonati ai servizi di Mountain View e sufficienti conoscenze tecniche, particolare che dovrebbe indurre Google a rendere predefinite le impostazioni legate a HTTPS. Secondo i ricercatori e gli accademici, utilizzare lo standard sicuro come impostazione predefinita causerebbe un minimo calo delle prestazioni dei servizi cloud, ma consentirebbe agli utenti di proteggere con maggiore efficacia i dati caricati sui loro account.
La lettera si conclude con un esplicito invito ai responsabili di Google affinché rendano predefinito l’utilizzo di HTTPS sui loro servizi e informino con maggiore precisione gli utenti sui rischi legati all’utilizzo di standard meno sicuri. Un link nella pagina principale di Gmail, Docs e Calendar dovrebbe inoltre rimandare direttamente a una sezione dedicata alle impostazioni HTTPS, rendendo meno macchinosa l’adozione di tale sistema da parte degli utenti.
La risposta da parte di Mountain View alla lettera inviata nella giornata di ieri (martedì 16 giugno) non si è certo fatta aspettare. Sul “Google Online Security Blog”, l’esperta di sicurezza e privacy Alma Whitten ha sottolineato in un post gli attuali sforzi della società per garantire a ogni utente alti livelli di sicurezza per proteggere le loro identità online e i loro dati. Nel documento non si esclude la possibilità di rendere un giorno l’impostazione HTTPS predefinita per tutti gli account di Gmail: «Sappiamo che HTTPS costituisce una buona soluzione per molti utenti esperti che l’hanno già impostata come predefinita. E in questo caso, il costo addizionale per offrire HTTPS non ci farà tornare indietro. Ma vogliamo prima comprendere bene l’impatto sull’esperienza d’uso degli utenti, analizzare i dati ed essere certi che non vi siano effetti negativi».
L’esperta di sicurezza di Google ha poi confermato l’intenzione della società di condurre una sperimentazione su un numero limitato di account per verificare pregi ed eventuali svantaggi del costante utilizzo dello standard HTTPS. I test consentiranno di valutare l’impatto del protocollo sulle performance dei sistemi, sull’esperienza d’uso per il singolo utente e sulla resa dell’impostazione sulle diverse tipologie di reti. Iniziative simili potrebbero successivamente coinvolgere gli altri servizi cloud come Docs e Calendar.
Benché nel post Google ammetta indirettamente di essere al lavoro per rendere più affidabili i propri servizi online, la società del motore di ricerca mira anche a rassicurare gli utenti, ricordando come gli attuali sistemi siano molto più sicuri di quanto descritto nella lettera aperta indirizza al CEO Schmidt. In attesa di ulteriori sviluppi, gli utenti di Gmail interessati a utilizzare sempre lo standard HTTPS possono selezionare la voce “Impostazioni” (in alto a destra) dalla schermata principale del servizio di posta elettronica e successivamente spuntare l’opzione “Usa sempre https” dalla voce “Connessione browser” al fondo della scheda “Generali”. L’adozione di tale soluzione potrebbe però rendere difficoltoso l’accesso alla posta elettronica attraverso alcuni dispositivi mobili.