Il Bug Che Ho Scoperto Su Google Adsense. Ti Sferro Un Attacco Di Phishing!
Come avete avuto modo di intuire, in questo periodo mi sto occupando specificatamente di phishing (= le truffe on-line) derivate da falle nelle web application.
Sfruttando spesso delle dimenticanze-errori è possibile condurre truffe on-line molto pericolose. Ecco un pratico esempio di phishing sfruttando una debolezza di Google Adsense.
Google Adsense, per chi non lo sapesse, è un programma di affiliazione con cui ricavare dei soldi. Per maggiori dettagli si può visitare questa pagina.
Ususfruisco anch’io dei vantaggi di questo programma. Qualche giorno fa ho tentato di aprire una pagina protetta, senza eseguire il log-in (pensavo l’avessi fatto) e sono stato portato nell’home page, per il log-in, con questo indirizzo:
http://www.google.it/adsense/?destination=pagina che ho richiamato senza loggarmi
Il parametro destination definisce la pagina che si apre dopo il log-in. L’intento di Google è semplicemente quello di far visualizzare la pagina che era stata richiesta in precedenza, mentre non si era identificati, per poi esservi portati dopo l’identificazione.
Il mio spirito da smanettone si mette in moto e provo ad aprire l’indirizzo seguente
http://www.google.it/adsense/?destination=http://aranzulla.tecnologia.virgilio.it
Di fatto, dopo il log-in vengo portato sul mio sito internet, poiché il parametro destination non viene verificato. Ma se qualcuno sfruttasse questo non-controllo per un bell’attacco di phishing?
Ho contattato Google per segnalare il problema e rilasciato questo filmato dove dimostro come anche questa dimenticanza potrebbe causare forti danni, specialmente se considereiamo che Google Adsense effettua pagamenti.
Dopo il log-in l’utente viene portato sul mio sito, ma un truffatore interessato potrebbe registrare un indirizzo del tipo www.google-adsense.com (ricordate la “s” in più rispetto al sito originale di Unicredit?).
Link:
Vedi il filmato di un ipotetico caso di phishing sfruttando questo “errore”
Google risponde
Gentile Salvatore,
La ringraziamo molto per la sua segnalazione. Le informazioni da lei
fornite sono risultate veritiere e sono state immediatamente inoltrate al
nostro team tecnico per ulteriori indagini.Le siamo grati per la preziosa collaborazione e per l’attenzione.
Cordiali saluti
interessante, comunque non appena ho cliccato sul tuo link di prova opendns lo ha bloccato subito.
ciao
Complimentoni per la tua astuzia nell’aver trovato la falla! Anch’io come molti ricevo puntualmente email phising (specie ebay) in cui mi rimandano a un sito identico a ebay ma con un indirizzo compl. diverso per fregare la gente!
Spero che le azioni che intraprendono le aziende per moriti di gente come te abbiano successo e sarebbe giusto che anche voi veniste ricompensati nel modo giusto!
gestisco due piccoli (per ora) blog:
dazebao.blogspot.com e fuorifrase.blogspot.com e sto cercando di utilizzare adsense per racimolare un po’ di soldini (pochi lo so), sarei curioso di sapere quanto riesci a fare col tuo sito tanto per avere una idea indicativa!
Sono un consulente informatico e mi associo assolutamente con lupoalfa (31 Luglio 2005 alle 21:01)
Senza nulla togliere a Salvatore, che è certamente preparato Credo che oggi il problema sia nell?educazione di chi usa il PC
Tornando all’esempio dell’auto fatto da qualcuno: per guidare ci vuole la patente e ci sono sempre un sacco di incidenti comunque, per andare in internet non serve nulla, per cui è più facile sbagliare, no?
Chi non ritiene di essere sufficientemente preparato (e normalmente vedo che c’è abbastanza capacità di autovalutazione tra gli utenti) dovrebbe prestare maggiore attenzione ai vari dialer, spyware e nell’utilzzare la propria carta di credito…
I veri complimenti a Salvatore da parte mia vanno per la forte risonanza data al problema: se tutte le truffe o tentativi di truffa vengono notificati in rete, diventa più difficile cascarci. Bravo.
Geniale per quanto è semplice rispetto ad un XSS. Complimenti! Certo google ultimamente ne sforna di falle! C’è qualcosa di simile anche per gmail con hijacking di cookie a seguito di un XSS…
Ancora complimenti!
complimenti…
questo dimostra che esistono ancora delle persone oneste e che i grandi si perdono nelle piccole cose.
Bravo Salvo addirittura sulla Repubblica :)
Complimenti continua così e viva la Sicilia
Marcello, Palermo
PS: anche io ti consiglio di andare negli States dove sicuramente troverai maggiori opportunita ;)
Probabilmente hai un alto QI.
Join the Mensa ;)
Bravo, però ti contesto sempre il modo che hai di dire le cose, hai trovato un “difetto” di google adsense ma non un bug.
Anche il solo fatto di trovare un difetto è lodevole, però non puoi fingere che gli avvisi di firefox non esistano ;)
Bella li, se hai veramente 15 anni sei un grandissimo…
il potere della curiosità!!!!
Cmq x chi dice fuga di cervelli e similia, queste cose si possono fare con un semplice pc, ma esperiemnti seri servono finanziamenti ecco perchè scappa la gente. Lo stesso salvatore se da grande diventerà un grande programmatore e gli serviranno mainframe enormi non certo li troverà facilmente i italia, e dovrà anche lui andare via :)
ma spero che non sia così
ci sono 10 tipi di persone, chi conosce il binario e chi no!!!
Complimenti anche da parte mia..
sono fiero che sia stato un siciliano come me..
io sono di balestrate(Pa)
Potere ai terroni :D
non per dire, ma vulnerabilità di questo tipo sono presenti in tanti, ma proprio tanti sistemi dinamici in cui l’input viene validato senza la necessaria fase di verifica; al solito, il vero virus è l’utente
Non credo occorra una grande preparazione, senza nulla togliere a Salvatore, che è certamente preparato, per scoprire questi inghippi. Credo che oggi il problema sia nell’educazione di chi usa il PC, un pò come per la patente, ma anche un buon guidatore a volte si distrae, e cade in incidenti più o meno gravi. Le nuove generazioni sono più preparate a questo tipo di fregatura, vuoi perchè usano di più il PC o perchè l’istruzione all’informatica è finalmente entrata nelle classi inferiori. Le categorie più esposte sono quelle di età avanzata o quantomeno le persone che del PC ne fanno uso lavorativo senza studiarne il meccanismo di funzionamento, ma solo come strumento di lavoro o di utilità. Secondo me, la miglior cosa è educare la gente a tenere un’atteggiamento di attenzione, la sicurezza non centra, è solo una questione psicologica. Non si può avere la massima concentrazione tutto il giorno, prima o poi si cade lo stesso. Poi come secondo mezzo di difesa dell’utenza è (per gli esperti) dare la caccia a chi utilizza queste debolezze psicologiche degli utenti, che oltre ad essere truffatori, sono anche della peggior specie, proprio perchè utilizzano l’ingenuità. Un pò come derubare una vecchietta che ritira la pensione. Per chi recepisce il messaggio, potrebbe essere nuovo motivo di indagine hackeriano. Grazie ancora a Salvatore, il suo contributo è sicuramente utile a tutta la community di Internet
Dai Salvatore!
E’ stato veramente un colpaccio quello di google!
Mi sembra che ormai la tua fama sia alle stelle!
E pensare che si dice sempre che in italia c’e’ fuga di cervelli!
Non e’ proprio il tuo caso :)
Tanti auguri per il tuo (splendido futuro).
Elisabetta
Christian scrive:
28 Luglio 2005 alle 15:58
cerchiamo il pelo nell’uovo. pensavo che phishing avesse a che fare con la pesca e relativo uso di esche e non capivo che centrasse con aranzulla e adsense…
grazie comunque, ma soprattutto grazie ad aranzulla e a quelli come lui che usano la testa in modo costruttivo.
saluti a chi vuol essere salutato