Archivio » 2005 » ottobre » venerdì 14 »

Google, AdWords si ripara dal rischio phishing

Scritto da Guido Sintoni

Virus e Antivirus

Google ha nei giorni scorsi prontamente identificato e corretto un problema che, potenzialmente, apriva la porta a furti di identità (sì, proprio le famigerate azioni di phishing), cambiamenti arbitrari di credenziali e altre amenità.>State sicuri

Il difetto risiede nel programma pubblicitario Google AdWords, affetto da una vulnerabilità di tipo cross site scripting. Quest’ultimo è un errore di programmazione che può essere sfruttato da un hacker per introdurre istruzioni arbitrarie nella sessione di esplorazione di un sito Web aperta da un utente, all’insaputa di quest’ultimo.

Poiché Google AdWords non filtrava in maniera sufficientemente accurata i dati immessi nei form, risultava possibile eseguire script e comandi proprio attraverso essi, con effetti potenzialmente gravi (giustificando così il rischio-phishing di cui sopra).

Bastava infatti creare un link a una pagina Web appositamente creata per sottrarre i dati dai Pc degli utenti collegati.

Ma il possibile incidente è rientrato alla base senza danni: Google è stata avvertita della cosa già qualche settimana fa e ha potuto mettere mano al codice con calma, cavandosela con una lode pubblica allo scopritore del bug (una piccola società di nome Finjan), sia per “l’abilità nello scoprire il problema, che nei metodi di rilascio delle informazioni”.

Non è la prima volta che Google inciampa in problemi di cross site scripting: a gennaio il problema aveva riguardato il servizio di posta Gmail, e - anche in quel caso - era stato risolto in poco tempo, senza esporre a rischi concreti gli utenti.