Gmail e altre applicazioni Google mettono a rischio la sicurezza dell'utente?
di Fabio Boneschi, pubblicata il 13 Ottobre 2008, alle 12:33 nel canale Sicurezza
“GNUCitizen.org ha pubblicato informazioni relative ad alcune vulnerabilità che affliggono vari servizi di Google”
Nei giorni scorsi sono stati pubblicati alcuni allarmanti dettagli relativi alla potenziale vulnerabilità di alcuni servizi offerti da Google: le risorse interessate, stando a quanto riportato da Information Week, sarebbero Gmail.com, maps.google.com, images.google.com, news.google.com, mail.google.com.
Le informazioni diffuse da GNUCitizen.org segnalano anche un proof-of-concept code. Di fondo, un attacco di tipo frame injection consentirebbe a malintenzionati di realizzare una sorta di "fake login page" in cui l'utente, a propria insaputa, inserirebbe le proprie credenziali di accesso ai servizi di Google.
Google è stata informata di queste problematiche di sicurezza lo scorso aprile ma da tale data, stando a quanto riferito da Aviv Raff di GNUCitizen.org, non sarebbe stato preso alcun provvedimento. Nei giorni scorsi è stata presa la decisione di divulgare le informazioni e il proof of concept citato.
Information Week riporta anche la dichiarazione di Google che si dice informata sui fatti e sulle modalità in cui la vulnerabilità si potrebbe rivelare pericoloso, inoltre, segnala il proprio impegno al fine di minimizzare i possibili danni riconducibili a tali problemi di sicurezza.
Notizia Precedente 
Commenti (30)
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - Info
Commento # 1
di: gas78
pubblicato il 13 Ottobre 2008, 12:54
Non vorrei dire stupidaggini..
Il frame injection non era un problema di Explorer ?
E' anche un tipo di attacco ad un server ?
Il frame injection non era un problema di Explorer ?
E' anche un tipo di attacco ad un server ?
Commento # 2
di: MarK_kKk
pubblicato il 13 Ottobre 2008, 13:24
va beh, a me è arrivato un cliente ke ha aperto una mail delle poste italiane (ovviamente contraffatta) ke gli comunicava ke gli spettava un rimborso di 200€.
Non sto a dirvi ke cosa non ho trovato in quel pc XD
Non sto a dirvi ke cosa non ho trovato in quel pc XD
Commento # 3
di: .:LoZar:.
pubblicato il 13 Ottobre 2008, 13:33
Originariamente inviato da: MarK_kKk
va beh, a me è arrivato un cliente ke ha aperto una mail delle poste italiane (ovviamente contraffatta) ke gli comunicava ke gli spettava un rimborso di 200€.
Non sto a dirvi ke cosa non ho trovato in quel pc XD
Non sto a dirvi ke cosa non ho trovato in quel pc XD
alla faccia della privacy...
Commento # 4
di: inkpapercafe
pubblicato il 13 Ottobre 2008, 13:39
Baccalà il cliente.
Possibile che ci sia ancora qualcuno che ci caschi?
Ci ho cuginetti di 10 anni ben più svegli.
Possibile che ci sia ancora qualcuno che ci caschi?
Ci ho cuginetti di 10 anni ben più svegli.
Commento # 5
di: marchigiano
pubblicato il 13 Ottobre 2008, 13:40
giusto qualche giorno fa mi chiedevo qual'è la mail più sicura come protezione password e recupero in caso di furto o magari avvisi di accesso o tentato accesso... chi offre tali servizi?
Commento # 6
di: minatoreweb
pubblicato il 13 Ottobre 2008, 13:48
Non ho capito bene
Scusate ma l'articolo non mi sorge ben comprensibile, sarà per la mia scarsa conoscenza pero' potevate spiegare meglio. Perchè solo con alcuni servizi di Google? Ma non è un problema anche di altri sistemi ospitati con domini multipli? Ma se voglio creare un pagina fasulla non legittima alla quale un utente da nome e password perchè dovrei usare un attacco frame injection? Forse cosi' non devo bypassare i filtri XSS/HTML e neanche violare il server target? Perchè non dovrei usare le solite falle del tcp/ip? Ma da questo articolo molto vago non ne ho capito proprio nulla. L'unica cosa certa che mi dispiace è il fatto di sapere di avere la mail meno sicura.
Scusate ma l'articolo non mi sorge ben comprensibile, sarà per la mia scarsa conoscenza pero' potevate spiegare meglio. Perchè solo con alcuni servizi di Google? Ma non è un problema anche di altri sistemi ospitati con domini multipli? Ma se voglio creare un pagina fasulla non legittima alla quale un utente da nome e password perchè dovrei usare un attacco frame injection? Forse cosi' non devo bypassare i filtri XSS/HTML e neanche violare il server target? Perchè non dovrei usare le solite falle del tcp/ip? Ma da questo articolo molto vago non ne ho capito proprio nulla. L'unica cosa certa che mi dispiace è il fatto di sapere di avere la mail meno sicura.
Commento # 7
di: Visron
pubblicato il 13 Ottobre 2008, 13:57
Originariamente inviato da: inkpapercafe
Baccalà il cliente.
Possibile che ci sia ancora qualcuno che ci caschi?
Ci ho cuginetti di 10 anni ben più svegli.
Possibile che ci sia ancora qualcuno che ci caschi?
Ci ho cuginetti di 10 anni ben più svegli.
Originariamente inviato da: marchigiano
giusto qualche giorno fa mi chiedevo qual'è la mail più sicura come protezione password e recupero in caso di furto o magari avvisi di accesso o tentato accesso... chi offre tali servizi?
se i server fallano cosi' ( ed i server di Google sono tutti con Linux) = nessuno ..ovvero quando tu vai sul sito e ti loggi poi ti rubano user , passw etc
Commento # 8
di: Visron
pubblicato il 13 Ottobre 2008, 13:59
Originariamente inviato da: minatoreweb
perche' mentre ti logghi sul sito Google per i vari servizi sotto mascherato col frame i dati passano ad un altro sito = quello dell'hacker per prenderteli Scusate ma l'articolo non mi sorge ben comprensibile, sarà per la mia scarsa conoscenza pero' potevate spiegare meglio. Perchè solo con alcuni servizi di Google? Ma non è un problema anche di altri sistemi ospitati con domini multipli? Ma se voglio creare un pagina fasulla non legittima alla quale un utente da nome e password perchè dovrei usare un attacco frame injection? Forse cosi' non devo bypassare i filtri XSS/HTML e neanche violare il server target? Perchè non dovrei usare le solite falle del tcp/ip? Ma da questo articolo molto vago non ne ho capito proprio nulla. L'unica cosa certa che mi dispiace è il fatto di sapere di avere la mail meno sicura.
Commento # 9
di: gas78
pubblicato il 13 Ottobre 2008, 14:14
Originariamente inviato da: Visron
perche' mentre ti logghi sul sito Google per i vari servizi sotto mascherato col frame i dati passano ad un altro sito = quello dell'hacker per prenderteli
perdona la mia ignoranza.. ma il problema e' che hanno bucato i server di google e quindi sono riusciti a mettere dei pezzi che raccolgono le password o giocano sul fatto che magari uno sbaglia indizizzo e va su www goggle.com (editato, altrimenti lo prendeva come link) e questo sito si maschera da google ?
Commento # 10
di: Visron
pubblicato il 13 Ottobre 2008, 14:31
Originariamente inviato da: gas78
la prima perdona la mia ignoranza.. ma il problema e' che hanno bucato i server di google e quindi sono riusciti a mettere dei pezzi che raccolgono le password o giocano sul fatto che magari uno sbaglia indizizzo e va su www goggle.com (editato, altrimenti lo prendeva come link) e questo sito si maschera da google ?
ciao
News
