Un ricercatore avrebbe segnalato a Google che Gmail è vulnerabile ad attacchi Cross-Site Request Forgery.
[ZEUS News - www.zeusnews.it - 07-03-2009]
Scoperta nel lontano luglio 2007, la falla di sicurezza CSRF sarebbe stata comunicata all'epoca a Google, che però non avrebbe dato importanza a questo pericolo data la difficoltà di attuazione.
Una falla Cross-Site Request Forgery crea delle richieste ad hoc da inviare a un'applicazione sfruttando le autorizzazione di un user autenticato.
In Gmail la pagina che permette di cambiare la password garantisce l'accesso solo se si ha il cookie di sessione corretto: un cracker quindi dovrebbe creare delle pagine ad hoc, dirottare gli utenti verso queste pagine per cambiare i dati di accesso utilizzando il social engineering, magari tramite una email di phishing, procedura resa più semplice dal momento che la funzione richiede dati tramite metodo GET e non POST (maggiormente sicuro).
Il gigante di Mountain View afferma di non aver ricevuto notifiche di utenti che siano caduti in questo tipo di exploit e che ne risulta difficile l'attuazione.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|