Gmail: falla di sicurezza presa in carico solo dopo 137 giorni dalla scoperta
I servizi Google, in particolare Gmail, tornano al centro dell'attenzione dopo i recenti malfunzionamenti, per un bug che l'azienda ha preso in carico solo da poco, ma che era stato segnalato già diversi mesi fa.
Il bug in questione consentirebbe a un utente malintenzionato di inviare e-mail contraffatte con indirizzo generico, aggirando anche i protocolli di protezione, come il Sender Policy Framework (SPF) o DMARC (Domain-based Message Authentication, Reporting and Conformance) che proteggono gli utenti da questo tipo di attività, nota anche come spoofing.
SPOOFING... COS'È E PERCHÉ È PERICOLOSO
Lo spoofing, semplificando, consiste nell'inviare messaggi fraudolenti falsificando la propria identità. La vittima crede di aver ricevuto un messaggio da una fonte attendibile: questo incrementa le possibilità che installi un virus, apra un documento contenente malware o clicchi su un link dannoso. Spesso l'obbiettivo principale dei cybercriminali è quello di raccogliere dati e informazioni sensibili. Con questo bug un malintenzionato avrebbe potuto spacciarsi per qualsiasi utente di Gmail o G Suite. Fortunatamente non sembra che sia stato scoperto da altri a parte la ricercatrice che l'ha segnalato a Google.
Il problema è che Google è stata molto lenta a rispondere: aveva ricevuto la segnalazione del bug ad aprile scorso, senza comunicare una soluzione immediata al problema. 120 giorni dopo, il bug era ancora riproducibile e la ricercatrice ha comunicato a Google la propria intenzione di divulgare pubblicamente i dettagli della falla, e solo allora si è iniziato a muovere qualcosa. Alla fine, alcune mitigazioni al problema sono andate online poche ore dopo la pubblicazione dei dettagli del bug. È interessante osservare che, come standard di un po' tutto il settore, Google aderisce alla pratica dei 90 giorni di tempo per chiudere una falla prima di divulgarla pubblicamente.
Le mitigazioni messe in campo sono solo temporanee. L'azienda ha confermato di essere al lavoro per una soluzione definitiva, che stima di implementare entro il 17 settembre.