Full disclosure di un attacco CSRF su GMail

Per chi non avesse ancora chiaro quanto può essere pericoloso (e semplice da portare) un attacco Cross Site Request Forgery (CSRF), ritengo utile segnalare questa full disclosure di un piccolo problemino che assilla GMail.

In pratica, una volta autenticati in GMail, l'accesso alla pagina del "change password", invocata tramite una request HTTP GET, è garantito solo dal cookie di sessione storato dal browser. 

Questo permette di costruire pagine Web ad hoc e, con tecniche di social engineering, dirottare l'utente su queste pagine. Pagine che contengono riferimenti ad immagini che all'atto del caricamento e in modo silente tentano di cambiare la password del malcapitato.

Ecco l'esempio portato nella Full disclosure:

...

<>

src = https://www.google.com/accounts/UpdatePasswd?

service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD1

&Passwd=abc123&PasswdAgain=abc123&p=&save=Save"

...

Non sarà facilissimo "indovinare" la password di un utente, ma con un po' di mail costruite ad arte volete che prima o poi non si abbia successo?

Sulla reale portata di questo attacco nutro però qualche dubbio. Non mi sembra facilissimo portare un attacco mirato ad un solo utente nel caso di password di una certa robustezza. Del resto se la password fosse invece debole, che bisogno ci sarebbe di passare per il CSRF? Basterebbe provare ad accedere dalla pagina principale di Gmail!

Mi sembra invece più un attacco statistico che provocherà sicuramente qualche fastidioso e dannoso DoS al povero e sconosciuto malcapitato.

Interessante anche la timeline di questa disclosure. Questa vulnerabilità è stata notificata a Google nel 2007!

XI. DISCLOSURE TIMELINE

-------------------------

July 30, 2007: Vulnerability acquired by

                    Internet Security Auditors.

August 1, 2007: Initial notification sent to the

                    Google security team.

August 1, 2007: Google security team request additional

                    information.

                    about and start review the vulnerability.

August 13, 2007: Request information about the status.

August 15, 2007: Google security team responds that they are still

                    working on this.

September 19, 2007: Request for the status. No response.

November 26, 2007: Request for the status. No response.

January 2, 2008: Request for the status. No response.

January 4, 2008: Request for the status. No response.

January 11, 2008: Request for the status. No response.

January 15, 2008: Request for the status. Automated response.

January 18, 2008: Google security team informs that don't expect

                    behaviour to change in the short term giving

                    the justification.

                    We deconstruct those arguments as insufficient.

                    No more responses.

December 30, 2008: Request for the status. Confirmation from Google

                    they won't change the consideration about this.

January 11, 2009: Publication to Bugtraq. Rejected twice.

                    No reasons.

March 03, 2009: General publication for disclosure in other lists