Il phishing è su Google.com

Google ha creato uno speciale servizio di ricerca, chiamato Google Public Service Search, per le università e le associazioni no-profit che permette di aggiungere il motore di ricerca di Google nei loro siti web. Questo servizio è ben diverso dagli altri servizi di ricerca gratuiti di Google perché permette di personalizzare la pagina dei risultati, usando del codice HTML che viene memorizzato nei server di Google.

Ad ogni università o associazione no-profit registrata, viene dato un indirizzo del tipo http://google.com/u/nome. Eric Farraro ha iniziato a smanettare con questo servizio, notando come fosse possibile inserire del codice JavaScript nella pagina delle personalizzazioni e stravolgere completamente il contenuto della pagina con indirizzo http://google.com/u/nome.

Farraro ha creato la pagina http://google.com/u/gplus e, usando del codice JavaScript, è riuscito a ricreare la schermata di identificazione di Gmail, la casella e-mail di Google. Se avesse voluto, avrebbe potuto mandare delle e-mail di spam a chi utilizza Gmail ed avrebbe potuto raccogliere migliaia di username e password.

Le persone, infatti, si sarebbero fidate del fatto di trovarsi sui server di Google ed avrebbero fornito i loro dati. In realtà, è possibile proteggersi molto facilmente da questo tipo di truffe: le pagine per l’identificazione ai servizi di Google iniziano sempre per https://. Google ha momentaneamente disattivato il servizio.