Pericolo grave, ma pericolo scampato: una grave vulnerabilità per la sicurezza degli account Google è stata scoperta nella giornata di ieri e nel giro di poche ore i tecnici di Mountain View hanno saputo porre una pezza al problema mettendo immediatamente al riparo l’utenza da ogni possibile sfruttamento fraudolento del bug emerso.
La scoperta è di Billy (BK) Rios, il quale spiega sul proprio blog il modo in cui ha aggirato le sicurezze del motore di ricerca. Curiosamente prima di iniziare la sua spiegazione Rios ammette di seguire una procedura alternativa: normalmente le segnalazioni sono inviate solamente all’azienda interessata, ma il caso viene considerato particolarmente interessante e allora viene portato immediatamente all’attenzione dell’utenza (scoprendo però così il fianco dei milioni di Google Account esistenti).
L’attacco parte su Google Spreadsheet e termina sugli altri siti Google, Gmail in particolare, secondo il classico sistema del cross-site scripting (XSS). In pratica tramite un file appositamente creato è possibile carpire le sessioni altrui (passando per Internet Explorer) prendendo ad esempio possesso della casella di posta dell’utente attaccato. Netcraft spiega nei dettagli il problema illustrando il modo in cui un file in formato CVS può creare il problema da cui nasce il possibile attacco.
Nessun exploit all’orizzonte in quanto Google è intervenuto immediatamente sul problema rattoppando la falla delal quale rimane solo più testimonianza tramite gli screenshot pubblicati sul blog di Billy “xssniper” Rios.