Google ha recentemente risolto un bug critico di Gmail dopo ben 137 giorni dalla scoperta del problema
Mentre gli utenti nella giornata di ieri faticavano ad utilizzare i servizi di Gmail durante la giornata, Google ha corretto un bug critico che avrebbe potuto consentire ad alcuni esperti malintenzionati di inviare e-mail contraffatte. L’azienda ha impiegato ben 137 giorni per sistemare il bug dopo che il ricercatore di sicurezza Allison Husain lo ha segnalato per la prima volta alla società .
Il bug critico di Gmail
Husain ha notato che il bug non consentiva il classico spoofing delle email che vieta l’inserimento di valori nulli nel campo del mittente. Questo poteva limitare qualsiasi utente Gmail o GSuite ad inviare e-mail. Il bug, però, poteva anche consentire agli aggressori di aggirare i protocolli di protezione come Sender Policy Framework (SPF) e DMARC (Domain-based Message Authentication, Reporting and Conformance) che proteggono proprio dallo spoofing.
Queste tecniche confrontano l’indirizzo IP del mittente con un elenco preapprovato di IP dal dominio a cui è consentito inviare email. Se l’IP non è nell’elenco, il jig dello spoofer è attivo e il server rifiuta l’email.
Le due fasi di funzionamento del bug
Il bug ha funzionato in due fasi. In primo luogo, gli aggressori avevano la possibilità di configurare un “gateway in entrata” tramite le impostazioni di Gmail a uno dei propri indirizzi di posta elettronica (IP). Di solito, il ruolo del gateway in entrata è elaborare tutte le email, inclusi l’archiviazione e il filtro dello spam. In parole povere una sorta di Gandalf, ma per le email.
A causa di questo bug, gli aggressori avevano la possibilità di consentire lo spoofing di e-mail da un IP (ovvero il loro indirizzo e-mail originale). Per questo motivo, anche se l’email originale non superava il test SPF e DMARC, l’email contraffatta sarebbe potuta finire nella seconda casella di posta dell’aggressore perché l’IP era stato inserito nell’elenco di autorizzazioni.
Una volta che l’email si trovava nella seconda casella di posta G-Suite dell’aggressore, questo poteva configurare un destinatario casuale tramite la funzione “Cambia destinatario mail” di Gmail. Inoltre, le regole di routing di Gmail consentono di modificare intestazioni e righe dell’oggetto. E poiché l’email passa attraverso i server di Google, avrebbe superato senza problemi tutti i test di rilevamento dello spoofing. Potete controllare il flusso dell’attacco nel diagramma sottostante.
Husain ha detto di aver informato Google del bug ad aprile, ma la società l’ha risolto solo sette ore dopo la pubblicazione del post sul blog. Si trattava di un bug molto grave che poteva essere sfruttato da aggressori o spammer per progettare hack mirati. Google avrebbe dovuto prestare maggiore attenzione al bug e risolverlo prima che fosse divulgato.
Voi cosa ne pensate? Fateci sapere nei commenti e continuate a seguirci sulle pagine di tuttoteK per non perdevi le ultime novità e non solo.Â
Lascia un commento