Google Inbox: una vulnerabilità mette a rischio la sicurezza degli utenti

Gestire un client di posta elettronica non è una cosa semplice. Un sistema come Gmail, Outlook o Inbox deve garantire all’utente la sicurezza dei suoi dati per far si che questi non cadano nelle mani di hacker o truffatori. Proprio su questo argomento, Google Inbox è stato recentemente accusato di essere troppo “debole”.

Ma partiamo dall’inizio. Era il 4 Maggio 2017, quasi un anno fa, quando Eli Gray, un ricercatore di sicurezza, inviò una Mail a Google segnalandogli una falla di sicurezza all’interno di Google Inbox. Spiegò che senza un controllo fra il nome del destinatario ed il suo indirizzo email, l’utente avrebbe rischiato di inviare dati personali ad una persona (ad esempio al supporto PayPal) quando questi, invece, venivano inviati ad un’altra.

Una grande vulnerabilità

Come potete osservare nelle foto sottostanti di proprietà di XDA-developers, su Google Inbox il nominativo inserito nella casella “a” è support@paypal.com mentre il collegamento è a mishaal@xda-developers.com, ma ciò non è visibile all’utente che sta scrivendo la mail:

L’utente in questo caso pensa di star inviando una mail al supporto Paypal per risolvere un suo problema, ma in realtà questa verrà recapitata dal redattore del famoso sito Web. La falsificazione dell’indirizzo mail di destinazione non è neanche difficile da attuare. Non servono abilità da hacker o professionista nel settore informatico per effettuare questo spoofing; basta fare copia incolla.

Facciamo un esempio. Cliccando su questo link, verrà aperta sul vostro browser predefinito la pagina di Google Inbox con il box già pronto per inviare una mail a info@tuttoandroid.net. Il problema è che la mail verrà inviata a scammer@phishing.fakewebsite e non a tuttoandroid. Quello che ci ha permesso di far ciò è stata solo una modifica nei parametri dell’url che avete cliccato in precedenza:

Eli e Google

Il ricercatore, dopo non aver ricevuto alcuna risposta nel mese di Maggio, decise di contattare di nuovo l’azienda a Giugno, nuovamente senza risultati. Dopo 8 mesi dall’invio della sua seconda mail, Eli Gray – un po’ turbato per non aver ricevuto alcuna risposta – decise di scrivergli nuovamente il 16 Marzo 2018 minacciandoli che se non avessero risolto il problema entro il 4 Maggio 2018 lui avrebbe reso di dominio pubblico questo bug. La risposta da parte della multinazionale arrivò il 12 Aprile 2018 chiedendo scusa per il ritardo e ringraziandolo per non aver reso niente pubblico.

Pochi giorni fa, il 27 Aprile 2018, dopo aver appurato che il team non si era ancora messo al lavoro, Eli ha deciso di comunicare questa falla di Inbox al mondo intero mediante la pubblicazione di questo post sul suo blog. Come avete potuto osservare dal precedente esempio, questa vulnerabilità è presente ancora su Inbox e non ci sono informazioni su quando questa verrà risolta. Si tratta di un problema grave e, fortunatamente, né Gmail né Outlook ne sono affetti. Voi cosa ne pensate di questa situazione? Fatecelo sapere nel box dei commenti.