Come hackerare Google e rimanere indisturbato per un anno.
Circa un anno fa, per la precisione il 13 maggio 2009, postai sul blog questo articolo (il video è corrotto, quello fixato lo troverete qui sotto), nel quale dimostravo senza alcuna ombra di dubbio come Google, attraverso il sistema di pubblicazione dei widgets, fosse estremamente vulnerabile ad attacchi di tipo XSS, CSRF e quant'altro si possa fare potendo eseguire codice javascript nella pagina stessa di Google.Ebbene, è passato più di un anno, Google sicuramente avrà subito tantissimi cambiamenti sia a livello grafico che a livello di funzionalità, eppure questo problema non è ancora stato patchato.
Qui di seguito trovate il mio video, chiedo scusa per la bassa qualità ma quello originale è stato danneggiato tra un backup e l'altro, così il meglio che ho potuto fare è stato scaricarne la versione mp4 da youtube, dove un ragazzo che non conosco ha postato lo stesso video in bassa definizione.
Hacking Google 13 May 2009 from evilsocket on Vimeo.
Poi, qualche tempo fa, mi sono imbattuto in un altro video, postato su Vimeo da Emanuele Gentili, il quale mostra sostanzialmente la stessa vulnerabilità.
Il buon emgent, noto per la sua politica di responsible disclousure, ha immediatamente scritto al team tecnico di Google ... e cosa gli hanno risposto ?
Si, è vero, è un bug, ma non sappiamo come patchare.. hai qualche suggerimento?Perfetto, non solo in più di un anno non è cambiato nulla, non solo questa vulnerabilità potrebbe essere sfruttata in scenari praticamente infiniti, ma lo staff di Google si permette anche di rispondere così!
Che dire ... bah! -.-
