Blogger, un bug per consentire a malintenzionati di ottenere i diritti di amministratore [video]

• Francesco Dipo (Dipoweb)


• 13 Mar 2011

La piattaforma Blogger, di proprietà Google, non ha certo bisogno di presentazioni in quanto, come sapranno tutti, permette a qualsiasi utente (avente un account Google) di creare gratuitamente il proprio blog con un dominio del tipo .blogspot.com o di acquistarne uno (.com, .net ecc…).

Il video che andremo a proporvi è alquanto preoccupante, riguardo la sicurezza presente su Blogger. Dal filmato emerge come un utente malintenzionato potrebbe rapidamente ottenere i privilegi amministrativi di un account Blogger qualsiasi.

Ciò significa, in parole povere, che si può appropriare completamente del blog, scrivere articoli, cancellarli, creare pagine ecc…, insomma tutte le azioni che può eseguire un normale amministratore di un blog creato con Blogger.

Nel video vengono illustrate alcune tecniche complesse, facilmente riproducibili da esperti (hacker o utenti pratici nell’effettuare questo tipo di azioni) con software e tempi giusti. L’autore che ha postato questo video è Nir Goldshlager, un esperto di sicurezza di Avnet.

La vulnerabilità scoperta da Nir è stata già segnalata a Google in merito al Google Reward Program, ovvero un “concorso” fatto dal colosso di Mountain View dedicato a chiunque trovi un bug nelle varie piattaforme Google (youtube.com, blogger.com le più importanti). Il premio offerto, per ogni scoperta, è di 1337$.

Nei sette minuti di video postati, Goldshlager ha mostrato come ha ottenuto l’accesso ad un account Blogger con l’aggiunta di se stesso come autore (senza l’approvazione dell’amministratore), l’invio di una mail di conferma nella propria casella di posta elettronica dopo la quale, a operazione completata (click sul link ricevuto nella mail), è diventato autore del sito web.

In seguito a questi passaggi, l’utente malintenzionato modifica con successo le autorizzazioni per diventare, a conti fatti, un vero e proprio amministratore con tutti i privilegi (aggiungere, modificare, eliminare tutti i contenuti).

Il post originale di Nir non menziona se questa vulnerabilità è stata aggiornata da Google, se Google è ancora a conoscenza del problema o se proprio non lo è!

[via – Neowin]