image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di Roborock Q7 M5, robot aspirapolvere per chi vuole spendere poco | Test & Recensione Roborock Q7 M5, robot aspirapolvere per chi vuole spendere p...
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati pe...

Internet è insicuro: covert redirect affligge quasi tutti i siti

Una vulnerabilità molto grave e difficilissima da chiudere permette a criminali e truffatori di mettere le mani sui nostri dati.

Advertisement

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Redazione - Sicurezza

a cura di Redazione - Sicurezza

Pubblicato il 05/05/2014 alle 17:22 - Aggiornato il 15/03/2015 alle 01:50

Il software open source ha reso possibile la creazione di siti web di altissima qualità a grandi compagnie, ma anche a piccole aziende e per questo gode della nostra stima incondizionata. Ultimamente, però, stanno venendo al pettine alcuni nodi che rischiano di minarne la reputazione.

Dopo il disastro di Heartbleed, il bug che ha reso vulnerabili i due terzi dei server web collegati alla Rete, è il turno del "covert redirect" (reindirizzamento silente), un problema scoperto dal ricercatore Jing Wang e al quale sono sono soggetti moltissimi siti che usano OAuth e OpenID per loggare i propri utenti.

Proprio come successo con Heartbleed, tra i  "moltissimi siti" di cui sopra figurano grandi nomi del Web: da Google a Linkedin, passando per Facebook e Yahoo (che sembra proprio non mancare mai), stavolta si trovano tra i siti vulnerabili anche quelli di Microsoft, che da Heartbleed non erano stati toccati.

Venendo al bug vero e proprio, questa vulnerabilità permette ai cybercriminali di provare a rubare dati personali mascherando le proprie richieste illecite con una finestra di richiesta di accesso a un servizio web famoso assolutamente indistinguibile da quella autentica.

Non tutti si son lasciati cogliere impreparati. Linkedin era già all'opera per risolvere i potenziali problemi già due mesi fa.

In pratica, cliccando su di un link "malevolo", contenuto in un messaggio di posta o in una pagina web costruita appositamente, i cybercriminali fanno apparire una maschera di login a uno dei servizi scelti tra quelli colpiti dal bug in cui si specifica che la web app "civetta" ha richiesto l'accesso ai dati. Se l'utente procede al login, i dati vengono prelevati e inviati a un server predisposto dai criminali.

Per fare un esempio, è possibile che un utente clicchi su uno di questi link malevoli e ottenga come effetto l'apparizione di una richiesta di Facebook ad autorizzare un'app. Solo che mentre in passato nella finestra della richiesta apparivano degli indirizzi web che potevano mettere in guardia l'utente, sfruttando il covert redirect viene visualizzato l'indirizzo legittimo e quindi diventa molto complicato evitare la truffa.

Scendendo ancora di più nel dettaglio, la differenza tra avere un'app vulnerabile e una che crea pericoli sta tutta nel modo in cui lo sviluppatore ha registrato la sua creazione sui siti dei provider. Come spiega anche l'ottimo post su Caffeinalab, se abbiamo creato un'app per Facebook e l'abbiamo registrata sul famoso sito con un reindirizzamento "fisso" come "http://lamiaapp.com/oauth_redirect", non corriamo rischi perché se qualcuno cercasse di usare un reindirizzamento truffaldino il link sarebbe sicuramente diverso da quello che abbiamo indicato.

Se, invece, avessimo deciso di registrare l'app con un reindirizzamento "dinamico", allora avremmo usato un indirizzo con un parametro che diventa vulnerabile. La stringa sarebbe stata qualcosa tipo "http://lamiaapp.com/OAUTH?redirect=http://lamiaapp.it/paginaqualsiasi". Così facendo, un attaccante può usare la prima parte della stringa per fingere di usare la nostra app (http://lamiaapp.com/OAUTH?redirect=) ma usare in fondo un url a sua scelta sul quale mandare i dati o dirottare la navigazione dei malcapitati (basta sostituire " http://lamiaapp.it/paginaqualsiasi" con qualsiasi indirizzo).

La situazione è ancora più grave se si pensa che questa vulnerabilità è in realtà il frutto di una caratteristica ben documentata e nota da tempo. Addirittura, nella documentazione di Auth 2.0 si mette proprio in guardia gli sviluppatori contro l'eventualità di attacchi, incoraggiandoli a prendere le dovute precauzioni (che consistono semplicemente nel non registrare redirect parametrizzati presso i provider).

Quali sono, quindi, le conseguenze di questo bug? Innanzitutto, bisogna precisare che non è possibile "chiuderlo" a priori, ma sta a chi sviluppa siti e app che si appoggiano a servizi più importanti (tipo Facebook o Google) sistemare il problema, eliminando il redirect parametrizzato.

Purtroppo, molti di questi sviluppatori sono molto piccoli e non hanno le risorse o il tempo di sistemare il problema. Bisognerà quindi attendere che i fornitori di identità (Google, Microsoft, etc) obblighino questi sviluppatori ad aggiornare i loro servizi, sospendendoli finché non avranno messo in sicurezza il problema.

Dal canto nostro, l'unica cosa da fare è tenere gli occhi aperti e concedere autorizzazioni all'accesso solo quando sono strettamente necessarie. Niente ok a giochi utilizzabili altrimenti o a programmi che non conosciamo.

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione
Advertisement

Non perdere gli ultimi aggiornamenti

Newsletter Telegram
Live

I più letti di oggi


  • #1
    Uso della VRAM ridotto all'osso con la nuova versione del DLSS
  • #2
    Blocco diesel Euro 5 Nord Italia: tutto quello che c'è da sapere
  • #3
    Uno YouTuber ha acquistato uno dei marchi più famosi del retrogaming
  • #4
    Questa è la tech che salverà le schede video da 8GB
  • #5
    Amazon Prime Day, quand'è, quanto dura e come trovare le offerte migliori
  • #6
    Helldivers 2 trasforma le recensioni negative in DLC
Articolo 1 di 5
Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Sono arrivati i nuovi Shelly Gen4: soluzioni smart con controllo dei consumi per una casa intelligente come mai prima d’ora.
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Leggi questo articolo
Articolo 2 di 5
Roborock Q7 M5, robot aspirapolvere per chi vuole spendere poco | Test & Recensione
Un robot con aspirazione potente e navigazione LiDAR che offre un buon compromesso tra funzionalità avanzate e prezzo accessibile.
Immagine di Roborock Q7 M5, robot aspirapolvere per chi vuole spendere poco | Test & Recensione
Leggi questo articolo
Articolo 3 di 5
Migliori carte da usare in viaggio (luglio 2025)
Tutte le carte da viaggio tra cui scegliere per stare tranquillo e spendere e amministrare le tue spese serenamente, mentre sei fuori!
Immagine di Migliori carte da usare in viaggio (luglio 2025)
Leggi questo articolo
Articolo 4 di 5
Crea un’oasi zen con LEGO Botanicals: PREZZI SHOCK su Amazon!
Aggiungi l’eleganza senza tempo dell’albicocco giapponese o delle rose al tuo spazio a meno di 50€, ma affrettati: promozione limitata!
Immagine di Crea un’oasi zen con LEGO Botanicals: PREZZI SHOCK su Amazon!
Leggi questo articolo
Articolo 5 di 5
Il phon giusto può cambiare la giornata, anche quando fuori ci sono 40°
Durante le calde giornate estive, può capitare di voler asciugare i capelli all’aria aperta, ma con questo asciugacapelli non vorrete più farlo.
Immagine di Il phon giusto può cambiare la giornata, anche quando fuori ci sono 40°
Leggi questo articolo
Advertisement
Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.