Google, un bug metteva in pericolo le vostre e-mail
Dopo oltre 130 giorni di attesa una ricercatrice ha forzato la mano e ha costretto Google a tappare una gravissima falla alla sicurezza di Gmail e G Suite
Un pericolosissimo bug rendeva insicure tutte le caselle di posta elettronica di Gmail e G Suite e Google lo sapeva. La casa di Mountain View aveva anche la soluzione, ma ha ritardato a lungo a metterla in atto fino a quando non è stata costretta.
Questo, in sintesi, quello che è successo tra inizio maggio e ieri, cioè da quando la ricercatrice di sicurezza Allison Husain ha scoperto e comunicato a Google la grave falla il 1 aprile 2020 e quando Google l’ha risolta, il 19 agosto 2020. Per la precisione 139 giorni e sette ore. E gran parte del problema sta proprio nelle ultime nove ore: per forzare Google a risolvere il bug la Husain ha pubblicato sul suo blog personale tutte le informazioni necessarie ad un hacker per sfruttare questo bug e, appunto nove ore dopo, Goolge ha risolto tutto.
Bug Gmail: perché era grave
La Husain aveva scoperto che un hacker poteva eludere due sistemi degli standard di sicurezza usati da Gmail e G Suite, cioè l’SPF (Sender Policy Framework) e il DMARC (Domain-based Message Authentication, Reporting, and Conformance), e inviare messaggi a chiunque sfruttando l’identità di un inconsapevole utente della posta elettronica di Google. Ma non solo: l’hacker poteva anche impostare il reindirizzamento automatico di tutte le e-mail ricevute su quella casella verso un proprio indirizzo. Poteva, cioè, sostituirsi completamente ad un ignaro utente inviando messaggi a suo nome e ricevendo anche le risposte.
La tardiva risposta di Google
Due giorni dopo aver scoperto il grave bug di sicurezza, il 3 aprile, Allison Husain lo comunica a Google. Che le risponde il 16 aprile, classificandolo con priorità 2 e gravità 2. Il primo agosto la ricercatrice si accorge che il bug è ancora lì, in attesa di soluzione e scrive a Google di essere intenzionata a renderlo pubblico il 17 settembre. Google le risponde il 5 agosto dicendo che sta lavorando alla soluzione, che arriverà prima del 17 settembre. Ma il 14 agosto Google cambia idea e afferma che la soluzione non arriverà entro quella data.
A questo punto la ricercatrice perde la pazienza e, alle ore 8:00 del mattino (orario della costa del Pacifico degli USA) del 19 agosto pubblica sul suo blog tutti i dettagli per sfruttare la falla. Alle 3:13 del pomeriggio dello stesso giorno Google afferma di aver risolto tutto. La risposta della Husain è quanto mai sarcastica: “In sette ore il problema è stato risolto. Ottimo lavoro!”.
