Una recente vulerabilità scoperta in Gmail è capace di trasformare il servizio di posta elettronica di Google in un efficace e temibile “macchina dello Spam”. Secondo il gruppo di ricerca INSERT, Gmail può diventare nelle mani di un Spammer un mezzo per trasmettere migliaia di email attraverso il servizio SMTP di Google bypassando i suoi filtri. Oltre al danno vi è anche la beffa, da una parte è possibile aggirare i filtri anti-spam, dall’altra INSERT afferma che è anche possibile oltrepassare il limite massimo delle 500 email trasmesse in blocco.
Il difetto di Gmail che consente agli spammer di trasmettere un numero dei messaggi potenzialmente illimitato è un vero e serio problema, vi è però un altro fattore esterno che potrebbe esacerbare qualsiasi attacco potenziale. Come il volume di Spam è aumentato fino a rappresentare il 95 per cento di tutte le email - traffico email, molti fornitori hanno adottato delle whitelists e blacklists come prima linea di difesa contro questa “inondazione”. Un email da johdoe@awinnerisyou.com (o dal corrispondente range di Indirizzi IP) può essere ostruito automaticamente mentre un email da una fonte di fiducia e autenticata quale Gmail è permesso automaticamente l’ingresso nella propria Inbox. I fornitori del email usano regolarmente i filtri multilivelli, ci potrebbero essere casi in cui diversi indirizzi attendibili vengano dichiarati come Spam venendo rimossi automaticamente e quindi escludendoli da una legittima consegna al destinatario.
Le E-mail provenienti da Google hanno un alto Trust sia per Yahoo! che Hotmail. Il Team INSERT ha testato l’indicice di fiducia tra i principali tre email providers inviando messaggi Spam a Yahoo e Hotmail usando due fonti, nel primo test i messaggi erano da sistemi con indirizzi in blacklist sia da Yahoo! che Hotmail ma il secondo test è stato fatto con la Falla di Sicurezza appena scoperta dal Team INSERT.
La differenza è stata significativa. Le email trasmesse a Yahoo e Hotmail da un IP messo in blacklist non sono state necessariamente identificate immediatamente come Spam, le email contraffatte sono invece arrivate regolarmente nelle inbox come niente fosse. L’obiettivo non è condannare il “trusted-source filtering” ma dare risalto a come un difetto di sicurezza in un singolo prodotto o servizio può inceppare un ecosistema. Google chiuderà quasi immediatamente questa falla ma Yahoo e Hotmail potrebbero volere più tempo per leggere e “far tesoro” del classico proverbio Russo “doveryai, no proveryai (Trust, but Verify)”.
Links:
