L’allarme era stato lanciato dal ricercatore Petko D. Petkov a fine Settembre scorso. A corollario della sua analisi tecnica, il consiglio che il lettore era caldeggiato a trarre suonava nel seguente modo: “effettuate sempre il logout da GMail quando non utilizzate il servizio”.
Petkov, ampiamente postosi in evidenza per aver messo a nudo vulnerabilità in Apple QuickTime, in Windows Media Player ed in Adobe Acrobat Reader, aveva scoperto una lacuna in Google GMail, in particolare nella funzionalità che si occupa di filtrare i messaggi di posta.
“Un attacco potrebbe innescarsi nel momento in cui l’utente visiti un sito web maligno, opportunamente sviluppato per far leva sulla lacuna di sicurezza, rimanendo loggato al servizio GMail”, si leggeva sulla documentazione pubblicata da Petkov (che aveva comunque preferito non rendere noti i dettagli tecnici in modo da non favorire l’avvio di attacchi).
Il sito maligno può quindi mettere in atto quello che Petkov definisce “multipart/form-date POST”, un comando che può essere impiegato per caricare file, inviandolo all’application programming interface di GMail. “L’aggressore avrà la possibilità di iniettare un filtro personalizzato aggiungendolo alla lista di quelli usati da GMail”.
In alcune schermate dimostrative pubblicate sul suo sito web, Petkov illustrò una possibile forma di attacco: “nell’esempio, l’aggressore prepara un filtro aggiuntivo che permette di estrarre le e-mail con allegato e le inoltra ad un altro indirizzo e-mail di sua scelta”, aveva scritto il ricercatore.
La vittima dell’attacco sarà costantemente “sotto scacco” (la sua posta elettronica, nell’esempio, continuerà ad essere inoltrata a terzi, a sua insaputa e senza la sua autorizzazione) finché il filtro “maligno” sarà presente nella scheda Impostazioni, Filtri del servizio GMail.
Sebbene sembra che il problema sia stato risolto, il blogger David Airey denuncia la sua esperienza. Possessore di un dominio Internet registrato a suo nome ed utilizzato per le sue attività, Airey spiega di essere stato contattato da un amico mentre si trovava in India per una vacanza. Il dominio non risultava essere più di sua proprietà e visualizzava contenuti a lui completamente sconosciuti. Dopo una prima rapida analisi del problema, Airey ha scoperto l'”arcano”. Generalmente non provvedeva ad effettuare il logout dopo aver consultato il suo account GMail. Visitando un sito web maligno, in grado di sfruttare la vulnerabilità di sicurezza in questione, nel momento in cui questa non era stata ancora risolta, un aggressore era riuscito ad impostare uno speciale filtro che provvedeva ad inoltrare la sua posta elettronica verso un altro indirizzo e-mail. Il malintenzionato aveva dapprima richiesto l’invio, sull’account di Airey, di una nuova password per la gestione del dominio quindi intercettato l’e-mail proveniente dal provider Internet. A questo punto l’aggressore, impossessatosi della password, ha richiesto il trasferimento del dominio.
Un’esperienza emblematica, questa, che comunque può fungere da monito per il prossimo futuro. Il suggerimento, quindi, è ove possibile quello di effettuare sempre il logout da servizi di webmail o da altre applicazioni online prima di “navigare” su altri siti web. L’intera vicenda vissuta da Airey è descritta, in modo particolareggiato, facendo riferimento a questa pagina.