Tiscali e Alice: eccovi servito l'Open Redirect

Tiscali e Alice. Questi sono i 2 portali italiani che possono essere sfruttati come "siti ponte" per portare attacchi di phishing. Visto che la presenza di Open Redirect sui propri siti non sembra interessare ai 2 colossi italiani (ho inviato una segnalazione ma la vulnerabilità è ancora lì), pubblico in questo articolo gli indirizzi che presentano una cattiva gestione dei redirect.

Per Alice:
- tutti (o quasi) gli indirizzi che iniziano con http://go.alice.it/. Per esempio l'url http://go.alice.it/clkc_gla10_3316/http://www.repubblica.it vi porterà direttamente al sito di Repubblica. Non ne ho trovati molti di indirizzi così, però ne basta uno ed il gioco è fatto...

Per Tiscali la storia diventa al dir poco allarmante perchè l'home page di Tiscali ha un' infinità di bottoni e collegamenti che si basano sul redirect. Andate nella pagina iniziale di Tiscali, passate il mouse sopra a qualsiasi bottone o link e noterete che quasi tutti gli indirizzi iniziano con http://go.tiscali.it/. Tutti questi indirizzi possono essere modificati per redirezionare l'utente verso una qualunque pagina web. Ecco un esempio: http://go.tiscali.it/WWW.02/TLAB.04/T/KEY.001/http://www.repubblica.it

Ma ecco la ciliegina sulla torta...
Sempre con Tiscali, l'indirizzo http://abbonati.tiscali.it/rd/rd.html?u= può essere scritto così: http://abbonati.tiscali.it/rd/rd.html?u=http://www.repubblica.it ed ovviamente verrete portati sulla home di Repubblica. Secondo il mio parere, quest' ultimo esempio può fornire un tasso di successo piuttosto elevato per un attacco di phishing: pensate ad un phisher che invia una mail agli utenti Tiscali dicendo loro che devono aggiornare i dati del loro account cliccando sul link modificato ad hoc. Gli utenti più ingenui vedendo l'indirizzo che inizia con abbonati.tiscali.it si sentirebbero più sicuri e probabilmente cliccherebbero. Verrebbero ridirezionati su una pagina fasulla ed il phisher potrebbe rubare i loro dati.

Lo scenario descritto non è fantascienza, ma realtà quotidiana. Il numero di attacchi di phishing aumenta costantemente e questo vuol dire che c'è ancora tanta gente che ci casca e viene frodata. Ma in Italia la sicurezza informatica è ancora una chimera e non si presta la dovuta attenzione alla tutela degli utenti.

7 commenti:

    On 18 agosto 2007 01:56 romix ha detto...

    azz...allora il fatto che succedeva a mio cugino era un problema suo (beh è pieno di virus...), mi sa che tiscali e alice abbiano troppo da fare per tenerli aggiornati che nn stanno ad ascoltare quello che dice la gente... ma c'è un portale sicuro? anche uno meglio degli altri..

    in teoria (e in pratica) niente è sicuro su Internet... quindi credo che ogni portale abbia delle falle. Su Fastweb però non ho trovato nulla di interessante: niente XSS e niente Open Redirect.
    cmq chi si deve preoccupare sono i navigatori poco esperti... se tu sai cos'è il phishing e se non sei ingenuo, allora sei al sicuro da questo tipo di attacchi.

    Per curiosità, mi piacerebbe sapere quanto hanno pagato la software house che gli ha fatto il sito o, in alternativa, quanto pagano i loro collaboratori responsabili.
    In genere, le aziende pensano che la sicurezza sia garantire che nessuno possa entrare sul loro server...

    On 25 agosto 2007 14:00 Gandalf ha detto...

    Analisi interessante.

    Quelli su Tiscali sono pericolosissimi.

    On 29 settembre 2007 11:18 Anonimo ha detto...

    Eccone un altro:
    http://www.linkedin.com/redirect?url=http%3A%2F%2Fwww%2Eexample%2Ecom

    On 29 settembre 2007 11:19 Anonimo ha detto...

    http://www.linkedin.com/redirect?url=
    http%3A%2F%2Fwww%2Eexample%2Ecom

    @ anonimo: ottimo! gli Open Redirect sono più diffusi del previsto...