Connessioni / Next / Search / Sicurezza / Social
Google a rischio XSS? Ma no… (secondo Big G)
Il ricercatore Aviv Raff scopre un bug in varie applicazioni made in Google, che espone al cross-domain scripting. Ma in quel di Mountain View si getta acqua sul fuoco
Utenti Google a rischio? Secondo Aviv Raff - che non ha ancora chiuso la propria personale battaglia con Apple, ma questo è un altro discorso - decisamente sì: sul proprio blog (uno dei più temuti dai vendor? Probabilmente sì) ha reso noti i dettagli di una vulnerabilità che riguarda vari servizi strutturati in diversi sottodomini di Google, tra cui Gmail, Google Maps, Google Images e Google News. Senza risparmiare, peraltro, il servizio principe: la ricerca su Internet.
Per Raff, i problemi nascono quando questa vulnerabilità - fondamentalmente, una variante cross-domain del cross-site scripting - si accoppia ad altri bug. “Ad esempio, un piccolo problema di cross-site scripting di Google Maps può ora essere sfruttato per reindirizzare account Google, Gmail o Google Apps, bypassando le policy di protezione del browser […] Ci sono stati vari problemi di cross-site scripting che in passato hanno riguardato sottodomini di google.com e che ora risultano corretti”.
Subito dopo la scoperta di Raff, il ricercatore Adrian Pastor ha pubblicato una proof-of-concept, dimostrando l’efficacia di un attacco che inserisce pagine Web arbitrarie, a dispetto della barra degli indirizzi del browser che segnala un dominio di Google. In pratica, Pastor si avvale di un frame injection per ingannare le policy del browser e, con esse, le certezze dell’utente. Esponendolo a “possibili azioni di phishing contro utenti Gmail [nel caso specifico, ndR]”.
Raff avrebbe avvisato Google ad aprile, ricevendo la promessa di un intervento risolutivo. Mesi dopo, in assenza della soluzione, il ricercatore ha deciso di ricorrere alla full disclosure, esattamente come con Apple. Da quel di Mountain View un solo comunicato: “Siamo a conoscenza del problema e prenderemo i provvedimenti necessari ove vi siano conseguenze legate alla sicurezza”. Come a dire: se non siamo ancora intervenuti, è perché riteniamo il problema di bassa priorità.
E’ vero che un occhio attento riconosce nella proof-of-concept di Pastor più di un elemento sospetto (l’attacco avviene su una pagina Http, mentre tutti i servizi di Google usano Https), ma non sarebbe male da parte di Big G dedicare qualche riga all’accaduto. E magari incoraggiare l’uso di Google Safe Browsing, un componente per Firefox nato per smascherare attacchi simili a quelli in questione, che fa parte della Google Toolbar.
Ancora nessun commento.