{"id":3639,"date":"2014-05-05T11:46:55","date_gmt":"2014-05-05T11:46:55","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=3639"},"modified":"2021-04-28T15:16:07","modified_gmt":"2021-04-28T13:16:07","slug":"facebook-openid-oauth-vulnerabili","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/facebook-openid-oauth-vulnerabili\/3639\/","title":{"rendered":"Keep calm e fate attenzione: OpenID e OAuth sono vulnerabili"},"content":{"rendered":"

Solo un paio di settimane dopo il preoccupante bug conosciuto come Heartbleed<\/a>, un utente di Internet come me e voi ha scoperto una nuova e a quanto pare diffusa vulnerabilit\u00e0, anche questa non facile da\u00a0 risolvere. Si tratta del bug \u201cCovert redirection\u201d, scoperto di recente da Wang Jing, uno dottorando in matematica presso la Nanyang Technological University di Singapore. Il problema \u00e8 stato riscontrato all\u2019interno dei popolari protocolli Internet OpenID e OAuth. Il primo protocollo viene utilizzato quando si cerca di accedere a un sito web usando le credeziali gi\u00e0 create per i servizi di Google, Facebook o LinkedIn. Il secondo viene utilizzato quando si autorizza un sito web, una app o alcuni servizi con Facebook, Google +, ecc\u2026 senza rivelare di fatto la password e le credenziali a siti esterni. Questi due metodi vengono spesso usati insieme e, a quanto pare, potrebbero permettere ai cybercriminali di mettere mano sulle informazioni degli utenti.<\/p>\n

\"OpenID<\/a><\/p>\n

La minaccia<\/h3>\n

Su Threatpost<\/a> sono disponibili maggiori informazioni tecniche sul bug e un link alla ricerca originale, in inglese. Ma andiamo la sodo e osserviamo come funziona un possibile attacco e quali sarebbero le sue conseguenze. In primo luogo, affinch\u00e9 si verifichi il problema, un utente dovrebbe visitare un sito di phishing dannoso dotato del tipico \u201cAccedi con Facebook\u201d. Il sito potrebbe assomigliare del tutto a un servizio popolare esterno, fingendosi e proponendosi come un nuovo servizio. Poi il vero Facebook, Google +\u00a0 o LinkedIn lancia una popup che invita l\u2019utente a inserire le credenziali di login e la password per autorizzare i servizi appena menzionati (e in teoria \u201crispettabili\u201d) e permettere all\u2019utente di accedere. Nell\u2019ultima fase, l\u2019autorizzazione a usare il profilo viene inviata a un sito diverso (di phishing), \u201credirezionando\u201d le informazioni in forma impropria.<\/p>\n

In primo luogo, un utente dovrebbe visitare un sito di phishing dannoso dotato del tipico \u201cAccedi con Facebook\u201d.<\/div>\n

In questo modo, in poco tempo, i cybercriminali ricevono un\u2019autorizzazione vera e propria (OAuth token) per accedere al profilo della vittima indipendentemente dai permessi posseduti dall\u2019app originale. Nel migliore dei casi, si tratta solo di un accesso ad un account base, ma nel peggiore dei casi i criminali potrebbero avere accesso ai messaggi e alla lista dei contatti.<\/p>\n

\u00c8 stata risolta? Non del tutto<\/h3>\n

Questa minaccia probabilmente ci accompagner\u00e0 ancora per un po\u2019 perch\u00e9 per raggiungere una soluzione si dovr\u00e0 attendere un lavoro congiunto del fornitore (Facebook, LinkedIn, Google) e del client (app esterna o servizio). Il protocollo OAuth \u00e8 ancora in versione beta e i vari fornitori usano implementazioni diverse che variano in quanto a efficacia quando si tratta di controbattere l\u2019attacco non appena menzionato. LinkedIn si trova in una fase avanzata rispetto all\u2019implementazione della soluzione e ha preso misure pi\u00f9 serie rispetto alla gestione del login ed ha richiesto ad ogni sviluppatore<\/a> esterno di fornire una lista consentiti di \u201credirezioni\u201d consentite. Per quanto riguarda la situazione attuale, ogni app che usa le autorizzazioni di LinkedIn o \u00e8 sicura o non \u00e8 funzionale. Le cose non funzionano cos\u00ec per Facebook che purtroppo \u00e8 famosa per avere un sacco di app esterne e forse vecchie implementazioni di OAuth. Ecco perch\u00e9 Facebook ha detto a Jing che \u201cnon \u00e8 possibile realizzare una lista consentiti nel breve termine\u201d.<\/p>\n

Sono molti i provider che sembrano vulnerabili (vedasi l\u2019immagine sottostante). Perci\u00f2 se volete accedere a qualche sito usando questi servizi, dovete prendere provvedimenti.<\/p>\n

\"Vulnerabilit\u00e0<\/a><\/p>\n

Prendete provvedimenti<\/h3>\n

Ai pi\u00f9 cauti, suggeriamo di smettere di usare per alcuni mesi OpenID e quei pratici bottoni come \u201cAccedi con Facebook\u201d. Questa forma di login favorisce inoltre un sistema di tracking pi\u00f9 efficace e permette a molti siti web di leggere i vostri dati personali. Per non dover memorizzare decine o forse centinaia di credenziali diverse per ogni servizio a cui vi siete iscritti, vi consigliamo di utilizzare un password manager<\/a>, un programma che vi aiuter\u00e0 a gestire e memorizzare le vostre password. La maggior parte dei servizi odierni sono dotati di client multipiattaforma, sincronizzati via cloud, per proteggervi e garantire l\u2019accesso alle vostre password su ogni dispositivo in vostro possesso.<\/p>\n

Ai pi\u00f9 cauti suggeriamo di smettere di usare per alcuni mesi OpenID e quei pratici tasti come \u201cAccedi con Facebook\u201d #OpenID #CovertRedirect<\/p>Tweet<\/a><\/blockquote>\n

Tuttavia, se state pensando di continuare a usare OpenID, non andrete incontro a nessun pericolo immediato. Dovete essere solo molto attenti e evitare ogni truffa o frode di phishing che in genere inizia con qualche mail fastidiosa nel vostra casella di posta elettronica contenente qualche link a Facebook o a un altro social network. Se realizzerete il login a qualche servizio usando Facebook, i servizi di Google o un altro servizio di questi tipo, assicuratevi di aver aperto il sito digitandolo direttamente sulla barra dell\u2019indirizzo. In questo modo eviterete di visitare strani siti e di accedere a nuovi servizi con OpenID, a meno che non siate sicuri al 100% che la pagina che avete aperto \u00e8 affidabile ed \u00e8 quella corretta. Infine, vi consigliamo di usare una soluzione che vi aiuti a navigare in totale sicurezza come Kaspersky Internet Security \u2015 Multi-Device<\/a> che fa in modo che il vostro browser non incorra in qualche sito pericoloso, tra cui le pagine web di phishing.<\/p>\n

Dato che il phishing \u00e8 una realt\u00e0 diffusa e all\u2019ordine del giorni, fare attenzione e adottare precauzioni devono diventare un esercizio giornaliero che qualsiasi utente di Internet deve sforzarsi di realizzare. Le minacce di phishing sono efficaci e portano alla perdita di informazioni e dati digitali di ogni tipo, tra cui dati di carte di credito e bancomat, credenziali di posta elettronica e molto altro. Il bug \u201cCovert redirect\u201d che interessa OpenID e OAuth \u00e8 solo una ragione in pi\u00f9 per farlo.<\/p>\n","protected":false},"excerpt":{"rendered":"

OpenID e OAuth sono quei protocolli che permettono agli utenti di accedere pi\u00f9 facilmente a determinati servizi e si concretizzano in quei comodi bottoni come \u201cAccedi con Facebook\u201d o \u201cLog-in con Google\u201d. C\u2019\u00e8 chi ha gi\u00e0 pensato di hackerarli, ma niente panico: seguite i nostri consigli. <\/p>\n","protected":false},"author":32,"featured_media":3640,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[16,12],"tags":[31,33,764,1028,1027,116,584],"class_list":{"0":"post-3639","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-news","9":"tag-facebook","10":"tag-google","11":"tag-kaspersky-internet-security-multi-device","12":"tag-oauth","13":"tag-openid","14":"tag-phishing","15":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/facebook-openid-oauth-vulnerabili\/3639\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/facebook\/","name":"facebook"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/3639","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=3639"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/3639\/revisions"}],"predecessor-version":[{"id":24507,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/3639\/revisions\/24507"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/3640"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=3639"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=3639"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=3639"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}