Secondo quanto riportato da AGI, un gruppo di ricerca del Laboratorio di Intelligenza Artificiale del Dipartimento di Informatica, Sistemistica e Telematica (DIST), coordinato dal professor Alessandro Armando, avrebbe scoperto una vulnerabilità insita nel servizio di autenticazione per il Single Sign-On (SSO) utilizzato da Google, in grado di permettere ad utenti malintenzionati l’accesso agli account degli utenti del motore di ricerca. La falla è stata prontamente segnalata in quel di Mountain View e corretta. Si tratta, come confermato sul sito AI-LAB, della vulnerabilità segnalata proprio in queste ore dal CERT.
La vulnerabilità (la cui scoperta viene accreditata ad Alessandro Armando, Roberto Carbone, Luca Compagna, Jorge Cuellar e Llanos Tobarra Abad) si è evidenziata nell’ambito del Progetto AVANTSSAR (Automated Validation of Trust and Security of Service-oriented Architectures) finanziato dall’Unione Europea nell’ambito del VII Programma Quadro, utilizzando un programma per l’analisi automatica dei protocolli di sicurezza, realizzato dallo stesso gruppo di ricerca. Il software ha quindi utilizzato le più avanzate tecniche di Intelligenza Artificiale a disposizione per analizzate tutte le potenziali pecche del protocollo utilizzato da Google.
Secondo quanto segnalato dal CERT, l’implementazione del SAML Single Sign-On da parte di Google consentirebbe un facile accesso ai dati sensibili dei suoi utenti; un service provider malevolo potrebbe infatti avere accesso agli account Google o ad altri servizi offerti attraverso differenti provider di identità (Identity Provider). A Mountain View hanno corretto la vulnerabilità modificando l’implementazione dell’SSO; al fine di scongiurare ulteriori spiacevoli sorprese, il post del CERT consiglia di prestare attenzione nel momento in cui si introducono le credenziali all’interno dei servizi Google passando attraverso service provider di terze parti.