[bglug] Falla di GMail!

Giuseppe Capizzi redstarlabs@gmail.com
Mer 26 Dic 2007 23:27:05 CET


Uno dei più famosi designer di loghi al mondo, David Airey, ha subito il
furto del suo nome di dominio [1] ad opera di un *ladro* che ha
sfruttato una falla di GMail [2].

La falla era presente nel client web di GMail, e consentiva ad un
attaccante di iniettare un filtro per deviare ad un indirizzo mail
esterno tutte le mail sottostanti a cerchi criteri (ad esempio la
presenza della parola "password"). 

Affinché l'attacco avvenisse era sufficiente che il malcapitato utente
aprisse una pagina contente codice malevolo e fosse al contempo loggato
in GMail.

Parlo al passato perché Google ha risolto il problema, ma chi ha subito
l'attacco prima del fix *RIMANE VULNERABILE*.

I filtri malevoli non possono essere automaticamente rimossi da Google,
quindi consiglio a tutti di dare un'occhiata alle tab "Filtri" e
"Inoltro e POP" delle proprie Impostazioni di GMail per assicurarsi che
non ci sia niente di strano...

[1] http://www.davidairey.co.uk/StaticPage.html
[2] http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/
-- 
Giuseppe Capizzi



Maggiori informazioni sulla lista bglug