C’è un bug in Gmail che potrebbe essere sfruttato dai pirati

Nov 19, 2018 Marco Schiaffino Hacking, News, Phishing, RSS, Vulnerabilità 0

È possibile inviare email che vengono memorizzate nella cartella dei messaggi inviati. Un trucchetto che potrebbe permettere nuove truffe.

Quella individuata in Gmail non è una vera e propria vulnerabilità, ma piuttosto un piccolo bug che, secondo gli esperti di sicurezza, potrebbe però rappresentare una leva attraverso la quale sarebbe possibile mettere in piedi truffe e attacchi di phishing.

Il problema riguarda il sistemi di filtri applicato dall’applicazione di Google, che può essere “ingannata” per fare in modo che un’email in arrivo venga copiata anche nella casella dei messaggi inviati.

Per farlo è sufficiente alterare il messaggio inserendo l’indirizzo del mittente anche nel campo “Da”. Gmail usa infatti questo parametro per capire quali messaggi sono stati inviati da un account e, quando analizza un messaggio del genere, lo copia anche nella casella “Inviati”.

Qual è il rischio? Secondo quanto scrive lo sviluppatore software Tim Cotten, il pericolo riguarda il phishing e, più in generale, l’invio di messaggi che contengono link pericolosi.

I messaggi di questo genere nella casella di posta in arrivo vengono infatti filtrati e scartati automaticamente, ma lo stesso non accade per quelli che vanno nella cartella della posta inviata.

Un pirata informatico potrebbe quindi mandare un primo messaggio strutturato in questo modo che contiene il link malevolo e poi inviarne un secondo (questa volta “pulito”) per indurre la potenziale vittima a cercare il messaggio inviato e sfruttare la confusione per convincerlo a fare clic sul collegamento.

Non solo: con un sistema del genere i cyber-truffatori avrebbero gioco facile a convincere le loro vittime che il loro computer sia compromesso, magari con un messaggio del tipo “ehi, mi hai appena inviato un messaggio con un virus, è probabile che il tuo computer sia infetto”.

Cotton, inoltre, ha scoperto un altro bug nel sistema che consente di inviare email in cui non viene visualizzato alcun mittente. Secondo lo sviluppatore, un trucchetto del genere permetterebbe di camuffare un messaggio di posta elettronica in modo che sembri una notifica di sistema.

In questo caso la falla riguarda sempre la gestione del nome del mittente, che nel caso sia troppo lungo (per esempio se si usa il tag di un’immagine o uno script) non viene gestito in maniera appropriata e “sparisce”.

Il problema è che la maggior parte delle persone, per capire se un messaggio è vero o si tratta di una truffa, controllano (giustamente) il mittente per vedere se corrisponde a un account legittimo. Nel caso in cui il mittente non ci sia, è molto probabile che una buona fetta di utenti possa cadere nel tranello.

Aspettando che Gmail sistemi i due bug, il consiglio per chi usa il servizi odi posta elettronica di Google è di aumentare il livello di paranoia al massimo e diffidare di qualsiasi messaggio che sembri anche minimamente “strano”. Cosa che, per la verità, bisognerebbe fare sempre…

Condividi l'articolo