È giusto portare avanti quanto abbiamo discusso recentemente proprio qui su oneITsecurity e aggiornare i lettori sulla fine (speriamo) della storia degli account Gmail.
Pochi giorni fa, infatti, avevamo parlato di Gmail e di suoi alcuni problemi di sicurezza che potevano rendere disponibili informazioni personali e soprattutto incoming mail ad un eventuale cracker. In particolare si trattava di una vulnerabilità ad attacchi di tipo cross-site scripting.
In particolare era Petko Petkov che, a scopo dimostrativo, aveva annunciato un possibile falla in Gmail e ne aveva proposto una pericolosa applicazione.
Utilizzando infatti un exploit sarebbe stato possibile maneggiare i cookie e le sessioni, nel caso in cui l’utente cliccasse su link maliziosi, costruiti ad hoc, e contemporaneamente fosse “loggato” in Gmail. A questo punto il cracker potrebbe re-indirizzare le e-mail entranti verso un altro account POP e leggerne quindi il contenuto senza alcun problema.
Ad oggi sembra che non sia pervenuta nessuna comunicazione di utilizzo malevolo di questa vulnerabilità. È possibile dire che il problema, fortunatamente non ha avuto conseguenze particolari.
E fortunatamente possiamo dire che non ne avrà neanche in futuro. Google infatti dichiara che gli sviluppatori hanno applicato una fix sui sistemi, eliminando di fatto il problema alla radice.
Possiamo quindi ritenerci al sicuro da questo problema, anche perchè vista la sua enorme utenza, non è pensabile che a Google non interessi tenere sotto controllo tutti gli aspetti di ogni suo servizio.