Non sono tempi tranquilli per il servizio di posta elettronica Gmail targato Mountain View, dopo un malfunzionamento a livello mondiale e un attacco agli account avvenuto appena pochi giorni fa, ora ci si mette anche una vulnerabilità recentemente rilevata che esporrebbe le mailbox al pericolo di Cross-Site Request Forgery.
In pratica, almeno a livello teorico, un utente malintenzionato potrebbe sferrare un attacco CSRF riuscendo a modificare le password degli utilizzatori, penetrare gli account di posta e da questi lanciare un ulteriore attacco di tipo DoS (denial-of-service) per rendere il servizio inutilizzabile per migliaia di utenti; il tutto facendosi beffe del sistema di controllo degli accessi basati su CAPTCHA.
Descritta in questo modo, la minaccia sembrerebbe gravissima, ma i tecnici di Google minimizzano la portata della vulnerabilità; per loro infatti un exploit di questo genere potrebbe avere successo solo se l’attaccante indovinasse la password di un utente mentre questo visita un sito appositamente confezionato per sfruttare il bug.
