Google ha patchato una vulnerabilità pericolosa in Gmail che è legato ad un caso in cui i browser web eseguire codice ricchi, noto anche come “DOM clobbering”.
Il bug è stato segnalato per la società nel mese di agosto 2019 da un esperto di sicurezza. Le informazioni disponibili indicano che questo fa parte del motore di carico posta dinamica chiamata AMP4Email.
Gmail Bug fissato da Google: “DOM clobbering” Exploit utilizzato contro il servizio
Di recente la notizia di un pericoloso bug che circonda Gmail, servizio di posta elettronica di Google. Le bugie problema all'interno degli script di caricamento di contenuti HTML dinamico. Il motore che è responsabile di questo è chiamato AMP4Email - permette ai browser web per elementi di carico dinamico e la formattazione ricca quando i messaggi vengono composti.
Possibili problemi di sicurezza derivano dal fatto che l'AMP4Email contiene un forte validatore che utilizza il meccanismo di una lista bianca per consentire esattamente che tipo di contenuti può essere passato al compositore e-mail. se i tentativi agli utenti di inserire un elemento HTML non autorizzata sarà scartato e verrà visualizzato un messaggio di errore. Tuttavia, un problema di sicurezza è stato trovato, grazie ad una funzione di eredità del browser web chiamato DOM clobbering. In sostanza si tratta di un vecchio modo di fare riferimento a JavaScript oggetti all'interno di una pagina.
L'analisi di sicurezza di spettacoli AMP4Email che gli hacker possono manipolare i campi di codice al fine di effettuare un attacco di scripting cross-site (attacco XSS) che può portare a molti problemi per gli utenti vittima. La preoccupazione principale è il caricamento di oggetti non autorizzati e pericolosi che possono trasportare virus e minacce Web. Come i messaggi di posta elettronica web sono uno dei canali di messaggistica primarie sono una probabile fonte di minacce informatiche. Comuni possono includere i seguenti tipi:
- Minatori criptovaluta - Questi script di piccole dimensioni potranno caricare un complesso attività ad alta intensità di hardware che sarà posto un pesante pedaggio sulle prestazioni dei computer. Quando uno dei compiti viene segnalato come completato gli hacker riceveranno reddito sotto forma di criptovaluta direttamente cablato nel loro portafogli.
- Codice Trojan - script web semplici possono distribuire un pericoloso Trojan sui computer delle vittime, che permetterà agli hacker di prendere il controllo dei computer infetti.
- Phishing Redirect - Inserendo gli URL o la sostituzione di quelli esistenti che gli hacker possono attirare nei destinatari ad aprire le pagine web falsi.
Fortunatamente Google ha risolto il problema in modo tempestivo e il ricercatore di sicurezza è stata premiata con il programma bug bounty ufficiale della società. Per ulteriori informazioni si può leggere la spiegazione dettagliata nel blog del ricercatore.