Il bug che ho scoperto su Google Adsense. Ti sferro un attacco di phishing!

Come avete avuto modo di intuire, in questo periodo mi sto occupando specificatamente di phishing (= le truffe on-line) derivate da falle nelle web application.

Sfruttando spesso delle dimenticanze-errori è possibile condurre truffe on-line molto pericolose. Ecco un pratico esempio di phishing sfruttando una debolezza di Google Adsense.


L'home page di Google Adsense


Google Adsense, per chi non lo sapesse, è un programma di affiliazione con cui ricavare dei soldi. Per maggiori dettagli si può visitare questa pagina.

Ususfruisco anch’io dei vantaggi di questo programma. Qualche giorno fa ho tentato di aprire una pagina protetta, senza eseguire il log-in (pensavo l’avessi fatto) e sono stato portato nell’home page, per il log-in, con questo indirizzo:

http://www.google.it/adsense/?destination=pagina che ho richiamato senza loggarmi

Il parametro destination definisce la pagina che si apre dopo il log-in. L’intento di Google è semplicemente quello di far visualizzare la pagina che era stata richiesta in precedenza, mentre non si era identificati, per poi esservi portati dopo l’identificazione.

Il mio spirito da smanettone si mette in moto e provo ad aprire l’indirizzo seguente

http://www.google.it/adsense/?destination=http://aranzulla.tecnologia.virgilio.it

Di fatto, dopo il log-in vengo portato sul mio sito internet, poiché il parametro destination non viene verificato. Ma se qualcuno sfruttasse questo non-controllo per un bell’attacco di phishing?

Una ipotetica e-mail di phishing

Ho contattato Google per segnalare il problema e rilasciato questo filmato dove dimostro come anche questa dimenticanza potrebbe causare forti danni, specialmente se considereiamo che Google Adsense effettua pagamenti.

Dopo il log-in l’utente viene portato sul mio sito, ma un truffatore interessato potrebbe registrare un indirizzo del tipo www.google-adsense.com (ricordate la “s” in più rispetto al sito originale di Unicredit?).

Google Adsense falsificato

Link:
Vedi il filmato di un ipotetico caso di phishing sfruttando questo “errore”

Google risponde

Gentile Salvatore,

La ringraziamo molto per la sua segnalazione. Le informazioni da lei
fornite sono risultate veritiere e sono state immediatamente inoltrate al
nostro team tecnico per ulteriori indagini.

Le siamo grati per la preziosa collaborazione e per l’attenzione.

Cordiali saluti

Pubblicato da Salvatore Aranzulla il 13 luglio 2011