La piattaforma Blogger, di proprietà Google, non ha certo bisogno di presentazioni in quanto, come sapranno tutti, permette a qualsiasi utente (avente un account Google) di creare gratuitamente il proprio blog con un dominio del tipo .blogspot.com o di acquistarne uno (.com, .net ecc…).
Il video che andremo a proporvi è alquanto preoccupante, riguardo la sicurezza presente su Blogger. Dal filmato emerge come un utente malintenzionato potrebbe rapidamente ottenere i privilegi amministrativi di un account Blogger qualsiasi.
Ciò significa, in parole povere, che si può appropriare completamente del blog, scrivere articoli, cancellarli, creare pagine ecc…, insomma tutte le azioni che può eseguire un normale amministratore di un blog creato con Blogger.
Nel video vengono illustrate alcune tecniche complesse, facilmente riproducibili da esperti (hacker o utenti pratici nell’effettuare questo tipo di azioni) con software e tempi giusti. L’autore che ha postato questo video è Nir Goldshlager, un esperto di sicurezza di Avnet.
La vulnerabilità scoperta da Nir è stata già segnalata a Google in merito al Google Reward Program, ovvero un “concorso” fatto dal colosso di Mountain View dedicato a chiunque trovi un bug nelle varie piattaforme Google (youtube.com, blogger.com le più importanti). Il premio offerto, per ogni scoperta, è di 1337$.
Nei sette minuti di video postati, Goldshlager ha mostrato come ha ottenuto l’accesso ad un account Blogger con l’aggiunta di se stesso come autore (senza l’approvazione dell’amministratore), l’invio di una mail di conferma nella propria casella di posta elettronica dopo la quale, a operazione completata (click sul link ricevuto nella mail), è diventato autore del sito web.
In seguito a questi passaggi, l’utente malintenzionato modifica con successo le autorizzazioni per diventare, a conti fatti, un vero e proprio amministratore con tutti i privilegi (aggiungere, modificare, eliminare tutti i contenuti).
Il post originale di Nir non menziona se questa vulnerabilità è stata aggiornata da Google, se Google è ancora a conoscenza del problema o se proprio non lo è!
[via – Neowin]
#1AASonyKK
The vulnerability mentioned here has been confirmed patched (very fast) by the Google Security Team a few months ago.
è stata fixata 😉
#2LoGnomo
Bhe ovvio. Mica ti pubblicano un video di un bug che ancora è presente….
#3Enrico
Con quale semplicità.. strano che Google lasci queste falle di sicurezza..
#4LoGnomo
Non è strano, è normale. Quale software non ha falle di sicurezza? Nessuno.
#5Ohm
Si, è "normale", ma sinceramente qua si tratta di prendere per il culo delle semplici richieste http… ed è molto strano! Non vengono effettuati controlli sulle credenzialità?
#6M4ik
Come vorrei riuscirci anche io…