Nuova falla in Internet, Covert Redirect

covert-redirectUna falla permette di usare i veri moduli di login di Facebook, Google, PayPal o Microsoft per rubare i dati personali inseriti negli appositi campi. Il pericolo viene dai pop-up, ma gli esperti avvisano: la soluzione non sarà semplice e rapida a farsi.

I moduli di login e accesso al proprio profilo dei più importanti siti internet sono esposti ad una falla che consente di rubare le informazioni personali che vengono digitate negli appositi campi. Il pericolo quando il login viene presentato in un pop-up.

La scoperta è stata fatta dal ricercatore Wang Jing, dell’Università Nanyang Technological a Singapore, e coinvolge i protocolli OAuth e OpenID, i due strumenti più utilizzati dai siti web del mondo per creare dei moduli di login e gestire le informazioni di accesso degli  utenti: il pirata informatico può suggerire con qualsiasi mezzo, una mail, un link o un messaggio su un social network, di aprire una finestra di pop-up necessaria ad  entrare nel proprio profilo, come ad esempio quello di Facebook o Google.

Per via della vulnerabilità ribattezzata “Covert Redirect” l‘hacker non ha bisogno di creare e far visualizzare nel pop-up dei siti dai nomi simili a quelli legittimi, come accade solitamente, ma è perfettamente in grado di sfruttare i veri moduli di accesso delle piattaforme originali, con la differenza che i dati inseriti vengono inoltrati all’attaccante piuttosto che ai legittimi destinatari. Anche qualora l’utente non accetti di inserire le informazioni, viene comunque redirezionato su un sito scelto dall’hacker, che ha nuove possibilità di ingannare o infettare la vittima.

La vulnerabilità riguarda tutti coloro che si appoggiano ad OAuth e OpenID per gestire il login dei propri utenti, e fra questi figurano Facebook, Google, Yahoo!, LinkedIN, Microsoft e Paypal a cui si aggiungono altre piattaforme asiatiche come GitHub e Mail.Ru e dunque gli utenti i cui dati potrebbero essere rubati sono potenzialmente decine di milioni.

La vulnerabilità è stata già segnalata alle aziende coinvolte, e Jing ha ricevuto risposte diverse fra loro: Facebook ha spiegato di essere al lavoro per risolvere il problema così come Google (che utilizza OpenID) ha detto di aver allertato il team di sicurezza, anche se non sono stati precisati i tempi con cui il bug dovrebbe essere corretto.LinkedIN ha promesso un post sul blog ufficiale con spiegazioni per gli utenti, mentre Paypal non ha dato replicato.Microsoft, ha invece precisato che dopo una rapida indagine ha stabilito che la vulnerabilità esiste su siti di terze parti e non su domini direttamente gestiti da Redmond.

E forse Microsoft ha confermato i timori di Jeremiah Grossman, CEO di WhiteHat Security e autorità nel campo. Dopo uno studio sui dati, Grossman ha riscontrato il problema, specie in OAuth, e ha previsto che la soluzione al rischio non sarà affatto semplice: in primo luogo sarebbe necessario creare una lista bianca di indirizzi attendibili, qualcosa cui i programmatori aderiranno con difficoltà e lentezza, mentre dal punto di vista dell’usabilità, il bug riguarda l’apertura di pop-up, una misura estremamente comoda per la navigazione, e allo stato attuale non vi sono soluzioni che possano integrarsi facilmente nel meccanismo di login senza infastidire l’utente.

Per ora l’unica reale raccomandazione funzionante è quella di non inserire i propri dati di login a qualsiasi profilo attraverso una finestra che si apre in sovra impressione, che anzi va chiusa rapidamente, specie se ci si accorge di un immediato inoltro verso un’altra pagina. Per loggarsi al proprio profilo, meglio raggiungere direttamente il sito interessato e autenticarsi, ritornando al punto precedente, che dovrebbe riconoscere automaticamente l’accesso alla piattaforma coinvolta. (alground)

Potrebbero interessarti anche...