Due esperti di sicurezza hanno spiegato che le applicazioni online di Google sarebbero vulnerabili ad alcune tipologie di attacco. GMail, ad esempio, porgerebbe il fianco ad un attacco di “frame injection”: in questo caso un aggressore che riuscisse a mettere in pratica, con successo, l’attacco potrebbe divenire in grado di appropriarsi indebitamente delle credenziali di accesso di un qualunque utente.
Adrian Pastor, ricercatore di sicurezza che collabora con GNUCitizen.org, ha pubblicato un codice “proof-of-concept” capace di “inettare” un frame facente riferimento ad una pagina web esterna a Google (visualizzazione, ad esempio, di una pagina di login fasulla) sebbene la barra degli indirizzi del browser contenui a mostrare l’indicazione del dominio google.com.
Come spesso accade in questi casi, si ha a che fare con una “svista” nell’analisi del contenuto dei parametri presenti negli URL. Pastor ha pubblicato una dimostrazione, definita dal ricercatore “poco elegante”, che sfrutta il servizio Google Images per mostrare una pagina di login Google GMail fasulla: inserendo username e password, questi verrebbero immediatamente carpiti dall’utente malintenzionato che avesse allestito una pagina web simile.
Secondo Aviv Raff, un altro ricercatore molto famoso per le sue scoperte nel campo della sicurezza informatica, il problema affliggerebbe molte applicazioni targate Google tra le quali Maps, Apps e News oltre ad Images e GMail.