Sembra che Google abbia un'altra grana. Stavolta si tratta della sicurezza. Negli ultimi giorni vari security analist hanno rintracciato falle in diversi prodotti di Google, che potrebbero mettere a rischio gli utenti di internet. La prima, scoperta qualche giorno fa, è una falla XSS (cross site scripting) in Google Search Appliance, prodotto hardware e software integrato, progettato per mettere il motore di ricerca al servizio delle aziende. Il blug affligge circa 200.000 clienti di Google e tutti i loro utenti. Il security analist Eugene Dokukin ha fornito una query composita di ricerca che permette di trovare su Google stesso i siti che presentano la falla: questa ricerca restituisce ben 200.000 risultati.

E' stata poi la volta del software Google Picasa. Si è scoperto che è attaccabile tramite un sofisticato attacco combinato, che sfrutta XSS, XSRF (cross-site request forgery), FSDPE (flash same domain policy elusion) e una debolezza dell'URI handler "picasa://" (che funziona come protocollo interno di rete). Questo exploit permette a un attacker di rubare immagini e foto private direttamente dal disco rigido del computer della vittima. L'attacco può essere lanciato inducendo semplicemente un utente a visitare un sito web modificato ad arte per lo scopo.

Una nuova vulnerabilità XSS è stata scoperta in Google.com, sfruttabile per rubare informazioni dagli account di posta Gmail. Nei giorni scorsi erano stati elaborati da qualche security analist degli exploit per dimostrare questa allarmante falla: il primo permetteva di rubare i contatti della rubrica Gmail, il secondo rubava i messaggi in arrivo inviandoli a un altro indirizzo di posta. Pare che in questo caso Google sia già corso ai ripari applicando un fix sui sistemi ed eliminando così il problema alla radice.

Google starebbe lavorando anche a un altro fix per porre rimedio a un'ennesima falla, che affligge la pagina di login di Google Urchin Web Analytics 5. Qui, sfruttando la funzione di completamento automatico dei browser, un attacker potrebbe essere in grado di rubare le credenziali di accesso al servizio. "Google prende molto sul serio le questioni di sicurezza e risolveremo rapidamente tutti i problemi identificabili", ha dichiarato a The Register un portavoce di BigG.

Ma Google non è l'unico ad avere avuto problemi di sicurezza in questi giorni. Sembrerebbe che i security analist, al rientro dalle ferie, si siano scatenati per trovare tutte le possibili vulnerabilità. E ne è venuta fuori una mezza ecatombe. Il ricercatore di sicurezza più attivo è stato il polacco Petko D. Petkov, divenuto già celebre ormai. Oltre ad aver portato alla ribalta la falla di Gmail, ha svelato altri pericolosi bug.

Il bug hunter già un anno fa aveva divulgato due vulnerabilità critiche (cioè particolarmente pericolose) di QuickTime, risolte definitivamente da Apple soltanto quindici giorni fa. Ma Petkov nel frattempo era già alla scoperta di altre pericolosità. Una di queste è un bug nel client di Second Life sfruttabile via Internet Explorer.

Intorno al 20 settembre inoltre ha scoperto una falla potenzialmente grave in Windows Media Player, a causa della quale un malintenzionato potrebbe creare un file in formato WMP capace di visualizzare una pagina HTML direttamente all'interno del player e di conseguenza in grado di sfruttare una qualsiasi falla ancora non patchata di Internet Explorer (per renderizzare le pagine web, infatti, WMP utilizza il motore di IE). Su di un PC con Windows XP SP2 e tutte le patch, il bug hunter afferma di essere riuscito a far aprire a WMP un URL a propria scelta. "Ciò significa - ha spiegato Petkov - che anche se voi utilizzate Firefox e pensate di essere al sicuro, semplicemente aprendo un media file vi esponete a tutte le vulnerabilità di IE". A mitigare la pericolosità interviene il fatto che, con le più recenti versioni di WMP (10 e 11), gli script inclusi nelle pagine web vengono eseguiti solo dietro autorizzazione dell'utente.

Ma Petkov non si è fermato in questi giorni e ha rilevato un bug di vulnerabilità critica nientepopodimeno che nel formato PDF. A differenza che in precedenza, Petkov ha scelto in questo caso di non divulgare informazioni sulla falla fino a che questa non verrà corretta da Adobe, perché, come ha spiegato lui stesso, "il problema è abbastanza critico dal momento che oggi i documenti PDF si trovano al cuore del business moderno". L'attacco funziona con le versioni di Adobe Reader 7.x e 8.x in abbinamento a Windows XP e 2003. Apparentemente immuni, invece, Windows Vista e i sistemi operativi non Microsoft. Il problema si verifica anche con un altro popolare viewer di PDF, Foxit Reader, ma in questo caso la minaccia appare meno grave: prima di eseguire lo script maligno l'applicazione chiede l'autorizzazione all'utente. Adobe ha comunicato di stare investigando sulla vulnerabilità e di essere pronta a fornire i risultati non appena saranno pronti.

La sfida delle multinazionali contro le vulnerabilità, piccole o meno piccole, appare comunque improba: "Anche spendendo centinaia di milioni di dollari, non riusciranno mai a mettersi totalmente al sicuro", spiega Robert Hansen, CEO di SecTheory. In effetti i sistemi sono pur sempre gestiti da esseri umani, fallibili per natura. E i vari modelli di sviluppo web 2.0, spesso focalizzati sul funzionamento incrociato e contestuale di soluzioni diverse da fonti e piattaforme diverse, di certo non aiutano.