Nuova vulnerabilità in Gmail New vulnerability in Gmail
Una recente vulerabilità scoperta in Gmail è capace di trasformare il servizio di posta elettronica di Google in un efficace e temibile “macchina dello Spam”. A recent discovery vulerabilità Gmail is capable of transforming the e-mail service Google in an effective and frightening "machine spam." Secondo il gruppo di ricerca INSERT, Gmail può diventare nelle mani di un Spammer un mezzo per trasmettere migliaia di email attraverso il servizio SMTP di Google bypassando i suoi filtri. According to the research group INSERT, Gmail can become in the hands of a Spammer half to send thousands of emails via SMTP service Google bypassing its filters. Oltre al danno vi è anche la beffa, da una parte è possibile aggirare i filtri anti-spam, dall’altra INSERT afferma che è anche possibile oltrepassare il limite massimo delle 500 email trasmesse in blocco. In addition to the damage there is also the mockery, on the one hand you can bypass anti-spam filter, INSERT of the other states that it is also possible to exceed the maximum limit of 500 emails sent en bloc.
Il difetto di Gmail che consente agli spammer di trasmettere un numero dei messaggi potenzialmente illimitato è un vero e serio problema, vi è però un altro fattore esterno che potrebbe esacerbare qualsiasi attacco potenziale. The failure to Gmail that allows spammers to send a number of potentially unlimited messages is a real and serious problem, there is another external factor that could exacerbate any potential attack. Come il volume di Spam è aumentato fino a rappresentare il 95 per cento di tutte le email - traffico email, molti fornitori hanno adottato delle whitelists e blacklists come prima linea di difesa contro questa “inondazione”. As the volume of spam has grown to represent 95 percent of all email - mail traffic, many suppliers have taken whitelists and blacklists as the first line of defence against this "flood". Un email da An email from johdoe@awinnerisyou.com (o dal corrispondente range di Indirizzi IP) può essere ostruito automaticamente mentre un email da una fonte di fiducia e autenticata quale Gmail è permesso automaticamente l’ingresso nella propria Inbox. (or by the corresponding range of IP addresses) can be automatically blocked while an email from a source of confidence and authenticated as Gmail is automatically allowed to enter into their Inbox. I fornitori del email usano regolarmente i filtri multilivelli, ci potrebbero essere casi in cui diversi indirizzi attendibili vengano dichiarati come Spam venendo rimossi automaticamente e quindi escludendoli da una legittima consegna al destinatario. Suppliers regularly use email filters Multilevel, there may be cases in which different declared as being reliable spam coming automatically removed and then excluding from a legitimate delivery to the recipient.
Le E-mail provenienti da Google hanno un alto Trust sia per Yahoo! The E-mail from Google have a high Trust is for Yahoo! che Hotmail. that Hotmail. Il Team INSERT ha testato l’indicice di fiducia tra i principali tre email providers inviando messaggi Spam a Yahoo e Hotmail usando due fonti, nel primo test i messaggi erano da sistemi con indirizzi in blacklist sia da Yahoo! The team has tested the INSERT indicice of confidence between the three major email providers sending spam messages to Yahoo and Hotmail using two sources, in the first test messages were from systems with addresses blacklist is Yahoo! che Hotmail ma il secondo test è stato fatto con la Falla di Sicurezza appena scoperta dal Team INSERT. Hotmail but that the second test was done with the Falla Security just discovered by Team INSERT.
La differenza è stata significativa. Le email trasmesse a Yahoo e Hotmail da un IP messo in blacklist non sono state necessariamente identificate immediatamente come Spam, le email contraffatte sono invece arrivate regolarmente nelle inbox come niente fosse. The difference was significant. Emails sent to Yahoo and Hotmail from an IP put blacklist were not necessarily immediately identified as spam, spoof mails are arriving regularly in the inbox as usual. L’obiettivo non è condannare il “trusted-source filtering” ma dare risalto a come un difetto di sicurezza in un singolo prodotto o servizio può inceppare un ecosistema. The aim is not to condemn the "trusted-source filtering" but to highlight how a lack of security in a single product or service can inceppare an ecosystem. Google chiuderà quasi immediatamente questa falla ma Yahoo e Hotmail potrebbero volere più tempo per leggere e “far tesoro” del classico proverbio Russo “doveryai, no proveryai (Trust, but Verify)”. Google will close almost immediately this flaw but Yahoo and Hotmail may want more time to read and "to build" the classic Russian proverb "doveryai, no proveryai (Trust, but Verify)."
Links:
