> Qui si parla dell'(ab)uso di un account Gmail come se fosse un relay > per mandare spam, ma avendone il controllo (quindi, banalmente, > attivandolo per questo scopo). Non è neppure considerabile un bug, ma > un difetto dovuto a un'eccessiva faciloneria nel modo in cui Google ha > implementato la funzionalità di forward delle mail in entrata. > > Invece la mia segnalazione iniziale, e anche le altre che si possono > trovare sui forum di Gmail nonchè su questa lista, si riferiscono a > situazioni in cui lo spam è stato mandato a tutto l'address book > dell'account Gmail (poi in qualche caso l'address book è stato pure > cancellato). E questo è ovviamente molto più grave perchè presuppone > la compromissione delle credenziali di accesso o qualche vulnerabilità > molto seria. Tornando, appunto, al problema iniziale ... potrebbe trattarsi di un keylogger che becca le credenziali all'accesso al sito gmail (e questo si troverebbe sniffando tra PC e modem/router) oppure un trojan che 'ruba' le credenziali dal programma di posta e le invia altrove (botnet o similari ?, si trova sempre sniffando ... pacchetti :o). A questo punto, dall'esterno, risulta facilmente prelevabile la rubrica (via web da altrove), senza intercettare qualsiasi forma di comunicazione tra client/server web.
Alternativa: avevo visto qualche settimana fa', un sito di phishing di gmail. Sinceramente stavo facendo altro e non ho dato peso alla problematica che poteva dare. Se io faccio un sito X sul quale serve la registrazione, l'utente si registra con indirizzo email, becco il provider (se tra i conosciuti come gmail), apro in popup la pagina col sito di phishing ... torniamo al problema che agli utenti non serve avere una password di 1001 caratteri alfanumerici diversi l'uno dall'altro. Diciamo che, la formula 'tieni tutta la posta su web' ha anche questo svantaggio: se ti rubano le credenziali, sono liberi di prendersi tutte le password sulla webmail (ebay/paypal credo ti mandino copia della password, sbajo ?) Credo non sia cosi' complicato scrivere un bot che cerca le email standard inviate da paypal e ne prende le credenziali. Micky ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
