Si pensa a Google come a una società attenta alla sicurezza dei servizi e delle applicazioni fornite. Ma non sembrerebbe proprio così, almeno a giudicare da quanto ci è stato raccontato da Emanuele Gentili in una lunga chiacchierata. Il ricercatore di sicurezza italiano negli scorsi mesi ha intrattenuto un fitto scambio di email con il Security Team di Google, segnalando moltissime vulnerabilità in servizi come Google Docs, iGoogle e addirittura Google.com. Per i servizi citati si parla di PDF infetti caricati e utilizzati come vettore per eseguire da remoto exploit su una macchina vittima, widget fraudolenti, open redirect e XSS. Non solo i servizi più popolari sono stati il bersaglio di Gentili, anche su Chrome e Google Earth “emgent” (questo il nick su Twitter del ricercatore) ha individuato seri bachi di sicurezza. Fin qui sarebbe tutto da considerarsi “normale”, è nella natura dei software avere bug, anche seri. Non proprio “normali”, soprattutto trattandosi di Google, le risposte ricevute a seguito della segnalazione di security bug.
In qualche caso, spiega Gentili, il Security Team di Google ha dato risposte che hanno sfiorato il ridicolo, con frasi del tipo:
Si, è vero, è un bug, ma non sappiamo come patchare.. hai qualche suggerimento?
In altri casi invece le risposte ai bug di sicurezza segnalati da “emgent” non hanno trovato risposta per mesi. Ad esempio, la segnalazione della possibilità di caricare widget “malevoli” su iGoogle è rimasta per mesi nella mailbox degli ingegneri di Google, nonostante il pericolo fosse ben documentato anche grazie a un video realizzato da Gentili su Vimeo. Tutte le segnalazioni fatte sono state inviate in responsible disclosure, e dunque nessuna delle vulnerabilità riscontrate è attualmente diffusa “in the wild”, ma il pericolo, stando alle parole del ricercatore italiano, sarebbe molto serio. La domanda del titolo rimane valida: Google è davvero una società attenta alla sicurezza degli utenti?
In qualche caso, spiega Gentili, il Security Team di Google ha dato risposte che hanno sfiorato il ridicolo, con frasi del tipo:
Si, è vero, è un bug, ma non sappiamo come patchare.. hai qualche suggerimento?
In altri casi invece le risposte ai bug di sicurezza segnalati da “emgent” non hanno trovato risposta per mesi. Ad esempio, la segnalazione della possibilità di caricare widget “malevoli” su iGoogle è rimasta per mesi nella mailbox degli ingegneri di Google, nonostante il pericolo fosse ben documentato anche grazie a un video realizzato da Gentili su Vimeo. Tutte le segnalazioni fatte sono state inviate in responsible disclosure, e dunque nessuna delle vulnerabilità riscontrate è attualmente diffusa “in the wild”, ma il pericolo, stando alle parole del ricercatore italiano, sarebbe molto serio. La domanda del titolo rimane valida: Google è davvero una società attenta alla sicurezza degli utenti?
Nessun commento:
Posta un commento