Da Wired.it :
Un test avviato dal motore di ricerca su alcuni utenti di G Suite solleva dubbi sulla privacy delle comunicazioni. La difesa: è una protezione contro il phishing
Google sta riscrivendo gli url contenuti nei messaggi di posta elettronica ricevuti in G Suite reindirizzandoli sul suo motore di ricerca. Si tratterebbe, sostiene l’azienda, di una misura di protezione da phishing. La modifica è stata notata dall’hacktivista Jeffry Paul che su Twitter ha messo sotto i riflettori la questione definendola una “enorme perdita di privacy”.
Google is now rewriting all URLs in gmail/gsuite email messages, *including those downloaded via IMAP*, to go via Google URL redirection, which is a HUGE privacy leak. they’re editing the actual message bodies in your inbox.#google #privacy #gmail #security
— Jeffrey Paul (@[email protected]) 🏴 (@sneakdotberlin) October 18, 2020
Con l’obiettivo dichiarato di proteggere gli utenti da link malevoli, Google sta riscrivendo gli url contenuti nelle email, di fatto mettendo le mani nel contenuto di un messaggio e cambiando il cosiddetto uniform resource locator (ovvero quella sequenza che identifica l’indirizzo di una risorsa in rete) originale in uno che passa tramite il reindirizzamento di Big G. Jeffry Paul ha fatto anche un test: si è spedito una email con un link e, dopo averla ricevuta, ha notato che l’url era stato cambiato.
just tested with a message to myself. pic.twitter.com/H4riP7l06g
— Jeffrey Paul (@[email protected]) 🏴 (@sneakdotberlin) October 18, 2020
Un portavoce di Google ha poi commentato il thread su Twitter spiegando che questa modifica fa parte di un nuovo strumento in via di sviluppo, che Big G sta testando solamente su alcuni utenti di G Suite.
this is a real thing under development, intended for phishing protection, only available in g suite. off switch is in https://t.co/3e7No3KM9f. if you don’t have a “enable imap link protection” switch let me know so I can try to figure out how this ended up on for you.
— tbodt (@tblodt) October 18, 2020
Lo strumento sarebbe una forma di protezione aggiuntiva dal phishing ed è stato attivato in automatico da Big G tra gli utenti scelti per la sperimentazione. Questi ultimi però, se lo desiderano, possono disattivarlo tramite un interruttore di spegnimento denominato “enable imap link protection”.
Lo strumento agisce anche su tutti i messaggi scaricati tramite Imap (Internet Message Access Protocol), ossia il protocollo che permette al client di scaricare la posta dal server e quindi di accedere, leggere e cancellare le email attraverso altre macchine, sincronizzando con il server le operazioni effettuate. Se la protezione è attiva, Big G modificherà gli url nelle email anche se scaricate da altri terminali.
Il nuovo sistema di protezione dal phishing è ancora in fase di test e con molta probabilità, dopo questa segnalazione pubblica, Google dovrà capire come risolvere i possibili problemi legati alla violazione della privacy prima di lanciarlo pubblicamente.
Potrebbe interessarti anche