Google ha comunicato di aver messo una pezza su alcune vulnerabilità XSS che affliggevano il servizio Gmail. Una vulnerabilità XSS si presenta nel momento in cui un’applicazione prende in carico i dati ricevuti in ingresso reinviandoli poi al browser web senza operare una validazione dell’input o senza codificarlo in alcun modo. Malintenzionati possono sfruttare falle XSS per eseguire script nocivi attraverso il browser web dell’utente, sottraendo dati di autenticazione, invocando il download di malware, modificando porzioni del sito web visitato.
Le tre vulnerabilità XSS che interessavano il servizio Gmail sono state individuate dal ricercatore Nils Juenemann. Egli ha correttamente provveduto ad inviare i dettagli circa la sua scoperta al team di Google che si occupa della sicurezza dei servizi online dell’azienda. Juenemann ha trasmesso tutte le informazioni seguendo le linee guida del “Vulnerability Reward Program” di Google, lo speciale programma con cui l’azienda di Mountain View premia gli esperti che segnalino, in modo responsabile, vulnerabilità “inedite” con una somma che può arrivare fino a 20.000 dollari.
La più grave delle lacune di sicurezza avrebbe potuto esporre Gmail ad un attacco XSS di tipo persistente. A differenza degli XSS tradizionali, infatti, negli XSS “persistenti” il codice utilizzato per l’aggressione viene addirittura memorizzato da parte del server web.
In tutti i casi presentati da Juenemann, per sferrare l’attacco un aggressore avrebbe dovuto conoscere ID statico assegnato da Gmail all’utente e l’identificativo del messaggio. Il ricercatore ha spiegato, comunque, che trattasi di informazioni tutto sommato facili da reperire: bastava infatti inviare un messaggio di posta HTML contenente delle informazioni addizionali per sottrarre i dati necessari non appena la vittima avesse aperto il messaggio e fatto clic su un link in esso presente.
Per sapere tutto sugli attacchi XSS, vi suggeriamo la lettura dell’articolo “Vulnerabilità XSS: scopriamo perché sono pericolose“.