Dopo Heartbleed, un altro problema rilevante emerge nelle misure di sicurezza adottate da alcuni software open source. Sono state individuate pericolose falle nel protocollo OAuth e nel meccanismo di autenticazione OpenID, vittime di un sistema di “covert redirect” che potrebbe aver colpito utenti di Google, PayPal, Yahoo, Facebook, LinkedIn e Hotmail, tutti siti che usano queste tecnologie. La falla permette di rubare i dati personali inseriti nei campi al momento dell’autenticazione, quando il login viene presentato in una finestra popup. La scoperta è merito del ricercatore Wang Jing, dell’Università Nanyang Technological a Singapore.
A rendere particolarmente grave la falla, il fatto che un malintenzionato non ha bisogno di creare e visualizzare pop-up simili a quelli legittimi, come accade tipicamente, ma è grado di sfruttare i veri moduli di accesso delle piattaforme originali, con la differenza che i dati inseriti vengono inoltrati all’attaccante piuttosto che ai legittimi destinatari. Anche nel caso l’utente non accetti di inserire le informazioni, viene comunque redirezionato su un sito scelto dall’hacker, che può a questo punto sfruttare altri metodi per di ingannare o infettare la vittima.
Jing ha ricevuto risposte diverse dalla varie aziende alle quali è stato segnalato il problema: Facebook ha spiegato di essere al lavoro per risolvere il problema; Google ha spiegato di aver allertato il security team, senza precisare i tempi con cui il bug dovrebbe essere corretto. LinkedIN ha spiegato che pubblicherà un post di spiegazioni sul blog ufficiale, Paypal non ha replicato. Microsoft, ha fatto sapere che dopo una veloce indagine ha stabilito che la vulnerabilità esiste su siti di terze parti e non su domini direttamente gestiti da Redmond.
Jeremiah Grossman, CEO di WhiteHat Security prevede che la soluzione (almeno per OpenID) non sarà è semplice: è necessario creare una white list di indirizzi attendibili, un metodo al quale gli sviluppatori aderiranno probabilmente con difficoltà e lentezza; allo stato attuale non vi sono soluzioni integrabili facilmente nel meccanismo di login senza impattare sull’usabilità.
Al momento l’unica raccomandazione possibile è di non inserire i propri dati di login a qualsiasi profilo in finestra popup (quelle che si aprono in sovraimpressione); meglio raggiungere e autenticarsi direttamente sul sito di ns interesse.
