• Google è davvero attenta alla sicurezza degli utenti?

    google_security.jpg

    Si pensa a Google come a una società attenta alla sicurezza dei servizi e delle applicazioni fornite. Ma non sembrerebbe proprio così, almeno a giudicare da quanto ci è stato raccontato da Emanuele Gentili in una lunga chiacchierata. Il ricercatore di sicurezza italiano negli scorsi mesi ha intrattenuto un fitto scambio di email con il Security Team di Google, segnalando moltissime vulnerabilità in servizi come Google Docs, iGoogle e addirittura Google.com.

    Per i servizi citati si parla di PDF infetti caricati e utilizzati come vettore per eseguire da remoto exploit su una macchina vittima, widget fraudolenti, open redirect e XSS.

    Non solo i servizi più popolari sono stati il bersaglio di Gentili, anche su Chrome e Google Earthemgent” (questo il nick su Twitter del ricercatore) ha individuato seri bachi di sicurezza. Fin qui sarebbe tutto da considerarsi “normale”, è nella natura dei software avere bug, anche seri. Non proprio “normali”, soprattutto trattandosi di Google, le risposte ricevute a seguito della segnalazione di security bug.

    In qualche caso, spiega Gentili, il Security Team di Google ha dato risposte che hanno sfiorato il ridicolo, con frasi del tipo:

    Si, è vero, è un bug, ma non sappiamo come patchare.. hai qualche suggerimento?

    In altri casi invece le risposte ai bug di sicurezza segnalati da “emgent” non hanno trovato risposta per mesi. Ad esempio, la segnalazione della possibilità di caricare widget “malevoli” su iGoogle è rimasta per mesi nella mailbox degli ingegneri di Google, nonostante il pericolo fosse ben documentato anche grazie a un video realizzato da Gentili su Vimeo.

    Tutte le segnalazioni fatte sono state inviate in responsible disclosure, e dunque nessuna delle vulnerabilità riscontrate è attualmente diffusa “in the wild”, ma il pericolo, stando alle parole del ricercatore italiano, sarebbe molto serio.

    La domanda del titolo rimane valida: Google è davvero una società attenta alla sicurezza degli utenti?

    Tags:

    Se vuoi aggiornamenti su Google è davvero attenta alla sicurezza degli utenti? inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. druido77 dice:

      Direi che ha dello scandaloso… ma mi piacerebbe sentire anche la campana “Google” prima di farmi una idea nel merito. In ogni caso non è la prima volta che emergono situazioni che hanno del grottesco e non solo con Google…
      Google è attenta al proprio business e penso che il senso di sicurezza degli utenti faccia parte di questo business… che poi sia sicura davvero è un altro paio di maniche. Sicuramente parlarne pubblicamente è buon modo per “stimolare” Google a risolvere la situazione

    2. M dice:

      Si ma il video su vimeo non è che sia tanto speciale, cioè è ovvio che ci possano essere widgets “malevoli”.

    Commenta

    Your email address will not be published. Required fields are marked *