Le imprese di un hacker capace di violare Gmail stanno creando scalpore nella blogosfera: il cybercriminale, probabilmente turco o iraniano, riesce a carpire i dati dei domini di blog anche piuttosto popolari, per poi trasferirli ad un altro registro a suo nome, chiedendo infine un “riscatto” per restituire il maltolto.
Tra le vittime illustri c’è anche MakeUseOf, un blog piuttosto seguito, ma le vittime note sono probabilmente solo la punta dell’iceberg. Ma come fa questo hacker a violare la sicurezza di Gmail, il popolarissimo client di mail online di Google?
Ce l’ha forse spiegato Brandon di GeekCondition, e se siete degli utenti di Gmail vi consiglio vivamente di leggere il suo post, che in ogni caso vi andrò ora a riassumere:
Il probabile metodo
Il malintenzionato non ha nessun bisogno di violare la sicurezza del vostro account, perchè può aggirarne le difese. Come punto di partenza, deve conoscere il vostro indirizzo email, e converrete con me che la cosa non è poi tanto difficile se si tratta del vostro indirizzo principale. Anche senza entrare nella vostra casella può fare in modo di creare un filtro che invii a lui tutte le email che ricevete (ne vedete un esempio nell’immagine in cima a questo articolo). Infatti, quando create un filtro per la vostra casella, inviate al server di Gmail una semplice richiesta tramite il vostro browser.
In questa richiesta sono presenti due variabili, ik e at. La prima definisce il vostro account, e non cambia mai. Brandon non ci dice come si fa a scoprirla, ma sostiene che la questione è di pubblico dominio, e che si trova spulciando attentamente un qualsiasi motore di ricerca.
La seconda (la variabile at) si riesce a strappare al browser di un utente Gmail ricorrendo ad una pagina che contiene codice malizioso. Avete inteso bene: bisogna convincere l’utente ad andare su un determinato URL in qualche maniera. Su quella pagina ci sarà uno script che rintraccerà un cookie che Gmail lascia nel browser all’inizio di ogni sessione, contenente proprio la famigerata variabile at.
Usando ik e at assieme, magari proprio tramite il codice malizioso che ha già attaccato il browser, è possibile portare a termine la richiesta di un nuovo filtro a Google, facendogli credere che sia tutta opera del legittimo proprietario della casella.
A quel punto il danno è fatto, e l’hacker si può impossessare di ogni mail spedita o ricevuta da quel determinato account (e qui capirete che si può far inviare i dati di un dominio o di un altro account con scarse difficoltà!).
Come difendersi?
Beh, intanto va detto che arrivati a questo punto probabilmente di difenderci non c’è già più bisogno: Google corregge molto in fretta le sue falle di sicurezza, una volta che ne è a conoscenza. In questo caso probabilmente starà lavorando per rendere la variabile at meno duratura (facendo sì che scada ad ogni richiesta e non ad ogni logout).
L’unica cosa che vi consiglio di fare è di controllare il vostro account periodicamente, assicurandovi di non forwardare nulla se così non avete stabilito e contando i vostri filtri per vedere …se c’è qualche clandestino a bordo!
Aggiornamento: Se poi volete davvero essere sicuri, almeno finchè non sapremo per certo che Google ha tappato la falla, assicuratevi di fare il logout ogni volta che uscite da Gmail, e mentre state controllando la posta evitate di navigare. In questo modo farete per forza scadere la variabile at senza rendervi vulnerabili.
I commenti sono chiusi.