È un mese di "fuoco" per Google per quanto riguarda la sicurezza: Giorgio Maone, geek italiano, sviluppatore software per Informaction e autore di popolari estensioni per Firefox come FlashGot e NoScript, ha pubblicato sul suo blog Hackademix.net un intervento in cui riassume le recenti "disclosure" di una serie di vulnerabilità per prodotti e servizi del colosso della ricerca Google. Nel giro di pochi giorni sono infatti stati svelati da parte di vari ricercatori di sicurezza i dettagli su ben 4 vulnerabilità che affliggono i prodotti di Google che potrebbero mettere a serio rischio gli utenti di internet.

 1. La prima problematica di sicurezza è stata scoperta dal ricercatore di sicurezza ucraino Eugene Dokukin aka "MustLive", già autore del progetto Month of Search Engine Bug (MOSEB), e riguarda una falla XSS (Cross Site Scripting) in Google Search Appliance, prodotto hardware e software integrato progettato per mettere la potente ricerca Google al servizio delle aziende. Il bug affligge circa 200.000 clienti del motore di ricerca "outsourced" e tutti i loro utenti. Mustilive fornisce anche un cosiddetto "Google Dork", cioè una query composita d ricerca che permette di trovare su Google stesso siti che presentano la falla. Attualmente questa ricerca restituisce circa 187.000 risultati.

 2. I ricercatori di sicurezza Billy Rios e Nate McFeters hanno svelato i "crudi" dettagli di un exploit in grado di attaccare il software Google Picasa. Si tratta di un sofisticato attacco combinato (che sfrutta XSS, Cross Application Request Forgery, Flash same domain policy elusion e una debolezza del URI handler picasa://) che permette ad una attacker di rubare le immagini e foto private dall'utente vittima direttamente dal disco rigido del suo computer. L'attacco può essere lanciato inducendo semplicemente un utente a visitare un sito web modificato ad arte per lo scopo.

 3. Il ricercatore colombiano Fernando Muñoz ha scoperta un nuova vulnerabilità XSS in Google.com che può essere sfruttata per rubare informazioni dagli account di posta Gmail. Muñoz ha pubblicato una "full disclosure" della falla. Il problema risiede nella funzione sondaggi di Blogspot, già affetta da altra problematiche di sicurezza. Il parametro 'font' non veniva correttamente "bonificato" prima di essere utilizzato all'interno del tag STYLE, permettendo iniezione di codice. A quanto pare Google ha corretto questo particolare bug ma non ha "verificato" il resto del codice della funzione. Muñoz ha pubblicato due allarmanti PoC (Proof of Concept): il primo permette di rubare i contatti della rubrica Gmail, i lsecondo ruba i messaggi in arrivo inviandoli ad un altro indirizzo di posta.

Per cadere vittime di questo tipo di attacchi basta visitare pagine modificate per lo scopo mentre si è loggati nel proprio account Google. L'exploit funziona su tutti i principali browser web. Muñoz consiglia agli utenti di di Firefox di utilizzare l'estensione NoScript che permette di proteggersi da questo ed altri attacchi XSS.

 4. Poche ore fa, Adrian Pastor, ricercatore di sicurezza del gruppo GNUCITIZEN ha svelato un'altra vulnerabilità "Google-outsourced", che affligge la pagina di login di Google Urchin Web Analytics 5. La falla è già stata segnalata a Luglio a Google che ha confermato il problema e di star lavorando ad un fix. Il PoC fornito da Pastor, che sfrutta la funzione di completamento automatico dei browser, mostra come un attacker sia in grado di rubare le credenziali di accesso al servizio. Pastor ha anche reso disponibile un video demo dell'attacco.