Un ricercatore di sicurezza, che si chiama Oren Hafif, ha scoperto una vulnerabilità critica nel processo di reset per le password di Gmail, che sostanzialmente espone qualsiasi account Google a un possibile attacco.
L'autore è riuscito a indurre all'errore gli utenti di Google Mail con un semplice attacco di phishing; facendo poi leva su un certo numero di falle presenti nel sistema, ha quindi utilizzato una tecnica di CSRF (Cross-site request forgery) e ottenuto le password tramite uno scripting cross-site (XSS).
Questo video spiega il processo attuato senza scendere in dettagli che altrimenti sarebbero stati pericolosi se divulgati.
Notate come nell'url sembri tutto a posto...
Tutto comincia infatti da una mail di phishing, mandata ad un utente, che replica fedelmente quella della richiesta di conferma di possesso dell'account (“Confirm Account Ownership”) di Google.
Nel link richiesto per confermare i propri dati sembra tutto regolare, in quanto l'utente si ritrova in un HTTPS con l'URL di google.com nel quale crede di aver confermato il possesso del proprio account; il tutto in realtà porta ad un sito creato dall'hacker, che fa uso della tecnica CSRF con un account e-mail customizzato.
Nel form viene poi richiesta la password attuale dell'account e il sito poi propone una finta richiesta di reset della stessa.
Naturalmente l'hacker in questo modo ottiene la password dell'account dell'ignaro utente e per dimostrarlo ha creato un cookie, usando uno script XSS; nel video l'eventuale utente viene informato che la sua password, nonché il cookie stesso generato nel processo, sono stati rubati.
L'ingegnoso ricercatore ha prontamente informato gli ingegneri di sicurezza di Google con tutti i dettagli in merito alle varie falle trovate nel sistema, ottenendo in cambio ben 5.100 dollari di ricompensa!
La casa di Mountain View, oltre a corrispondere la "taglia" al ricercatore seguendo le regole del programma "Bug Bounty", si è premurata di informarlo di aver già risolto il problema in modo tale che quanto escogitato da Hafif, non sia più usabile per attaccare alcun account Gmail.