Il bug che ho scoperto su Google Adsense. Ti sferro un attacco di phishing!
Come avete avuto modo di intuire, in questo periodo mi sto occupando specificatamente di phishing (= le truffe on-line) derivate da falle nelle web application.
Sfruttando spesso delle dimenticanze-errori è possibile condurre truffe on-line molto pericolose. Ecco un pratico esempio di phishing sfruttando una debolezza di Google Adsense.
Google Adsense, per chi non lo sapesse, è un programma di affiliazione con cui ricavare dei soldi. Per maggiori dettagli si può visitare questa pagina.
Ususfruisco anch’io dei vantaggi di questo programma. Qualche giorno fa ho tentato di aprire una pagina protetta, senza eseguire il log-in (pensavo l’avessi fatto) e sono stato portato nell’home page, per il log-in, con questo indirizzo:
http://www.google.it/adsense/?destination=pagina che ho richiamato senza loggarmi
Il parametro destination definisce la pagina che si apre dopo il log-in. L’intento di Google è semplicemente quello di far visualizzare la pagina che era stata richiesta in precedenza, mentre non si era identificati, per poi esservi portati dopo l’identificazione.
Il mio spirito da smanettone si mette in moto e provo ad aprire l’indirizzo seguente
http://www.google.it/adsense/?destination=http://www.salvatore-aranzulla.com
Di fatto, dopo il log-in vengo portato sul mio sito internet, poiché il parametro destination non viene verificato. Ma se qualcuno sfruttasse questo non-controllo per un bell’attacco di phishing?
Ho contattato Google per segnalare il problema e rilasciato questo filmato dove dimostro come anche questa dimenticanza potrebbe causare forti danni, specialmente se considereiamo che Google Adsense effettua pagamenti.
Dopo il log-in l’utente viene portato sul mio sito, ma un truffatore interessato potrebbe registrare un indirizzo del tipo www.google-adsense.com (ricordate la “s” in più rispetto al sito originale di Unicredit?).
Link:
Vedi il filmato di un ipotetico caso di phishing sfruttando questo “errore”
Google risponde
Gentile Salvatore,
La ringraziamo molto per la sua segnalazione. Le informazioni da lei
fornite sono risultate veritiere e sono state immediatamente inoltrate al
nostro team tecnico per ulteriori indagini.Le siamo grati per la preziosa collaborazione e per l’attenzione.
Cordiali saluti
Complimenti,
questa volta lo dico veramente :-)
Andrea
Diabolico !
Link: Google AdSense, ecco come ti sferro un attacco di phishing!
Ma se tu scopri queste cazz di falle perche’ non le usi anche?
Magari ci fai qualche soldo no?
Ciao
Complimenti Salvo… per avere 15 o 16 anni
sei in gamba e di certo non avrai problemi a
trovare un’attivita remunerativa :)
Qualora ti servisse ecco un link che avrai sicuramente già letto :)
Ciao
http://punto-informatico.it/p.asp?i=54359&r=PI
Davvero bravo come sempre!!!
Mi chiedo quanto ci metteranno a offrirti un lavoro. Certo… trasferirsi a Milano…
Congrats.
Certo… basta ignorare che l’indirizzo nell’URL non sia quello di Google e tutti i messaggi del browser che allertano sulla non attendibilità dei certificati… insomma come dire “questo antivirus ha una falla perchè quando mi avvisa di aver trovato un virus posso schiacciare Ignora e mi infetta lo stesso”.
Sveglia… chi ha sviluppato il browser quelli alert li ha inseriti per un motivo ben preciso, non perchè non aveva altro da fare.
A quando la vulnerabilità degli antivirus? :D
Sei sulla prima pagina di La Repubblica.it
Sei su Repubblica!!
Complimenti per il fiuto. Anche io sono un utente Google Adsense ma non sarei mai arrivato a tanto.
Bravo!
Angelo
bottone.blogspot.com
Caro Salvatore!
i tuoi genitori, inconsapevolmente, ti hanno battezzato col nome giusto! Ci hai salvati da una delle innumerevoli truffe che invadono ormai la rete, e la trasformano (dalla più bella cosa del mondo che era) in una schifezza.
Dimostri inoltre a noi “nordisti”, che i siciliani, oltre ad essere simpatici ed intelligenti, sono anche onesti. EVVIVA IL TERRONE SALVATORE E TUTTI COME LUI!
Cordialmente
Riccardo Maraini
http://www.infohacking.com/google/
Ciao,
Complimenti per l’articolo e per aver trovato la falla nel sito di Google.
un Saluto,
Massimo!
Salvatore
non ho un account adsense per verificare il phising. Sicuramente se una pagina log-in apparentemente legittima con destinazione “malicious” viene presentata an un user di adsense puo’ ri-indirizzare l’utente verso la malicious destination.
Io sono un consulente italo-americano. Fammi sapere se Google ha effettivamente corretto il problema altrimenti ti posso aiutare ad aprire un caso di vulnerability sul CERT e altri enti per conoscenza in USA.
Cordiali saluti
Marco Morana
CerbTech LLC USA
Prima ancora di effettuare il login vengono visualizzati ben 2 avvisi di sicurezza…
I miei complimenti. Questa volta il bug è davvero bello grosso. Continui così.
C’è un articolo su repubblica con tanto di animazione.http://www.repubblica.it/copertine/scienza_e_tecnologia/copertina.htm
:) Salve.
Il termine phishing, come lo definisci tu, è sbagliato. Non si tratta di truffe on-line derivate da falle nelle web application, ma di una particolare categoria di truffe basate sull’uso di mail fraudolente.
Basta leggere il seguente articolo su Wikipedia per capirne di piu’:
http://it.wikipedia.org/wiki/Phishing
Saluti.
Bravissimo Salvo. A quando il podcast sulla faccenda?
ci sono cascati anche quelli di google …
bel lavoro Pazzo ;)
Congratulazioni! Comprendo più che mai quanto la prudenza non sia mai troppa.
Questo è il nome del vero scopritore
Salvo ma puo essere che scopri questi problemi sempre dopo gli altri ?
“Hugo Vazquez Carames”
http://www.digitalsec.net/stuff/fun/fishface/Profile.htm
Smettiamola con queste false notizie
Carissimo Salvatore,
non sono un informatico, se non nella unica parte più “facile”: commerciale. Non capisco niente o quasi di sviluppo e quant’altro ma quello che mi ha impressionato è la tua passione.
Bravo Salvatore…. non so…ma… hai presente i supereroi? Quelli sempre attenti ad evitare stragi, inondazioni, cataclismi ecc. ecc.???
Ecco…. mi dai l’idea di essere proprio come uno di quei strabilianti, romantici, temerari e coraggiosi supereroi nella sua unica dimensione:il virtuale.
Continua così…aiutandoci/ti/mi
fabio
Congratulazioni! Hai dato a tutti la dimostrazione lampante che la prudenza in rete non è mai troppa!
In riferimento all’articolo “http://www.infohacking.com/google” lì si parla di XSS. Nel mio sito web non parlo di XSS, ma di una vulnerabilità trovata nel parametro destination. E’ grande la differenza.
complimenti per l’onestà, non cambiare negli anni. Avolte sotto certi aspetti col tempo si peggiora.
complimenti anche per la magagna scoperta…
Ti avverto che sei un fuorilegge:
“Iscrivendovi al programma, dichiarate di avere almeno 18 anni di età………….”
appena lo scopre google ti revoca l’account..
…solo per aggregarmi ai complimenti di tutti gli altri!!! COMPLIMENTI
Continua così
Egidio
Caro pippopappo,
come spiegavo sul forum del sito parodia:
Io non ho mai parlato sul mio sito di XSS. Il bug scoperto dai ragazzi dihttp://www.infohacking.com/google/ permette di modificare il contenutodella pagina, il mio invece solo di re-indirizzare l’utente su un altro sito. Non vedo proprio alcun legame fra le due cose.
Non è che è l’invidia che rode?
invidia di cosa ?
sei bravissimo !!!
ora sei contento ?
;)
Quto quanto dice Isai, ci sono ben 2 avvisi di sicurezza che avvertono del problema.
ignorare gli avvisi è come ignorare il fatto che l’antivirus avverta dell’esistenza di un virus in un file, ma noi avviamo comunque l’eseguibile.
il vero bug sarebbe se non ci fossero avvisi.
Ancora con sta storia degli avvisi di sicurezza, se vi girano le palle che è stata fatta una scoperta è inutile che si rode ..
il primo avviso di sicurezza lo spiega nel filmato perchè viene mostrato, il certificato è rilasciato per http://www.google.com , mentre li si punta a google.it
mentre per quanto riguarda il secondo avviso di sicurezza è cosa normalissima, avvisi medesimi vengono mostrati in TUTTE le connessioni “via” https ..
ma perchè in tutte le occasioni volete trovare smentite che non ci sono ?
perchè tutte le volte ci deve essere qualcuno che parla per niente ?
perchè ??
Bravissimo Salvo! Non è facile beccarsi una visibilità su Repubblica.it e tu ci sei riuscito, mettendo in luce un bel problemaccio. Complimentissimi ;-)
Complimenti, è davvero pazzesco che fior di programmatori lascino questi bug assurdi.
E meno male che per lavorare in google ti chiedono 2334034 lauree… che idioti :)
Mah… che delusione.
Segnalai la stessa cosa quasi 3 mesi fa.
Nessuna risposta.
Bel colpo d’occhio, in molti non hanno mai notato una falla del genere e questo va a tuo merito.
Continua così.
Certo… tutto è possibile, ma è un falso problema difficilmente sfruttabile. I publisher adsense sono molto più attenti di quel che credi.
@Albe:
sisi, e c’era la marmotta che confezionava la cioccolata…
Complimenti, sei davvero molto preparato, continua a stare dalla parte dei buoni, un saluto.
Ciao, piccolo grande uomo… dimostra che l’intelligenza e l’onesta per quanto tu possa avere solo 15 anni non è cosa per tutti…
dimostra che l’intelligenza è nel mettere a disposizione le proprie capacità, insegnando e allo stesso tempo imparando a convivere civilmente con tutti, sbarazzandosi di truffatori, furbizie da gatto e la volpe e sciacalli parassiti che vivono sulle fatiche altrui… Sono fiero che tu sia un siciliano come me, nei miei 50 anni di vita ho sempre portato nel cuore, quello che molti pseudo intellettuali non conoscono, la gioia solare, l’onestà e la voglia di gridare al mondo che in Sicilia esistono anche dei geni sconosciuti capaci e aperti a dividere pensieri e idee…
Sei un …mitico piccolo grande uomo
Franco alias Mayperso
@pcod, se sei ingnorante , è inutile che parli taci e sta nell’ ignoranza in cui vivi senza cagare il cazzo alla gente ..
gli avvisi di sicurezza come quelli del secondo caso vengono mostrati in TUTTI i casi in cui si sta effettuando una conenssione sicura < https ]
se hai da parlare parla da solo oppure le stronzate che dici tienitile per te .. magari è meglio
Ciao Salvatore!
complimenti per aver scovato questa pericolosissima falla in google!
non bisogna proprio fidarsi di nessuno!
pcod scrive:
29 Luglio 2005 alle 10:07
@Albe:
sisi, e c?era la marmotta che confezionava la cioccolata?
MUAHAHAHAHAHA MITO!!!
Grande salvo!
A me non funziona… problema risolto?
Ciao, sono un ricercatore che vive a Parigi. Volevo darti un consiglio che magari ti sara’ utile nel futuro, ovvero fra una decina d’anni. Studia in Italia fino alla Laurea (a Catania c’e’ un ottimo diprtimento di Informatica oppure al Politecnico di Milano trovi un eccellente ambiente di ricerca nel Dipartimento di Matematica), poi taglia la corda e vai negli States (anche se, magari, non ti piacciono) a farti un PhD (”dottorato di ricerca” in italiano). Io ho fatto cosi’ e sono soddisfatto del mio percorso. Se vuoi approfondire l’argomento, scrivimi pure. Ciao e buon lavoro. Andrea.
Christian scrive:
28 Luglio 2005 alle 15:58
cerchiamo il pelo nell’uovo. pensavo che phishing avesse a che fare con la pesca e relativo uso di esche e non capivo che centrasse con aranzulla e adsense…
grazie comunque, ma soprattutto grazie ad aranzulla e a quelli come lui che usano la testa in modo costruttivo.
saluti a chi vuol essere salutato
Dai Salvatore!
E’ stato veramente un colpaccio quello di google!
Mi sembra che ormai la tua fama sia alle stelle!
E pensare che si dice sempre che in italia c’e’ fuga di cervelli!
Non e’ proprio il tuo caso :)
Tanti auguri per il tuo (splendido futuro).
Elisabetta
Non credo occorra una grande preparazione, senza nulla togliere a Salvatore, che è certamente preparato, per scoprire questi inghippi. Credo che oggi il problema sia nell’educazione di chi usa il PC, un pò come per la patente, ma anche un buon guidatore a volte si distrae, e cade in incidenti più o meno gravi. Le nuove generazioni sono più preparate a questo tipo di fregatura, vuoi perchè usano di più il PC o perchè l’istruzione all’informatica è finalmente entrata nelle classi inferiori. Le categorie più esposte sono quelle di età avanzata o quantomeno le persone che del PC ne fanno uso lavorativo senza studiarne il meccanismo di funzionamento, ma solo come strumento di lavoro o di utilità. Secondo me, la miglior cosa è educare la gente a tenere un’atteggiamento di attenzione, la sicurezza non centra, è solo una questione psicologica. Non si può avere la massima concentrazione tutto il giorno, prima o poi si cade lo stesso. Poi come secondo mezzo di difesa dell’utenza è (per gli esperti) dare la caccia a chi utilizza queste debolezze psicologiche degli utenti, che oltre ad essere truffatori, sono anche della peggior specie, proprio perchè utilizzano l’ingenuità. Un pò come derubare una vecchietta che ritira la pensione. Per chi recepisce il messaggio, potrebbe essere nuovo motivo di indagine hackeriano. Grazie ancora a Salvatore, il suo contributo è sicuramente utile a tutta la community di Internet
non per dire, ma vulnerabilità di questo tipo sono presenti in tanti, ma proprio tanti sistemi dinamici in cui l’input viene validato senza la necessaria fase di verifica; al solito, il vero virus è l’utente
Complimenti anche da parte mia..
sono fiero che sia stato un siciliano come me..
io sono di balestrate(Pa)
Potere ai terroni :D
ci sono 10 tipi di persone, chi conosce il binario e chi no!!!
Bella li, se hai veramente 15 anni sei un grandissimo…
il potere della curiosità!!!!
Cmq x chi dice fuga di cervelli e similia, queste cose si possono fare con un semplice pc, ma esperiemnti seri servono finanziamenti ecco perchè scappa la gente. Lo stesso salvatore se da grande diventerà un grande programmatore e gli serviranno mainframe enormi non certo li troverà facilmente i italia, e dovrà anche lui andare via :)
ma spero che non sia così
Bravo, però ti contesto sempre il modo che hai di dire le cose, hai trovato un “difetto” di google adsense ma non un bug.
Anche il solo fatto di trovare un difetto è lodevole, però non puoi fingere che gli avvisi di firefox non esistano ;)
Probabilmente hai un alto QI.
Join the Mensa ;)
Bravo Salvo addirittura sulla Repubblica :)
Complimenti continua così e viva la Sicilia
Marcello, Palermo
PS: anche io ti consiglio di andare negli States dove sicuramente troverai maggiori opportunita ;)
complimenti…
questo dimostra che esistono ancora delle persone oneste e che i grandi si perdono nelle piccole cose.
Geniale per quanto è semplice rispetto ad un XSS. Complimenti! Certo google ultimamente ne sforna di falle! C’è qualcosa di simile anche per gmail con hijacking di cookie a seguito di un XSS…
Ancora complimenti!
Sono un consulente informatico e mi associo assolutamente con lupoalfa (31 Luglio 2005 alle 21:01)
Senza nulla togliere a Salvatore, che è certamente preparato Credo che oggi il problema sia nell?educazione di chi usa il PC
Tornando all’esempio dell’auto fatto da qualcuno: per guidare ci vuole la patente e ci sono sempre un sacco di incidenti comunque, per andare in internet non serve nulla, per cui è più facile sbagliare, no?
Chi non ritiene di essere sufficientemente preparato (e normalmente vedo che c’è abbastanza capacità di autovalutazione tra gli utenti) dovrebbe prestare maggiore attenzione ai vari dialer, spyware e nell’utilzzare la propria carta di credito…
I veri complimenti a Salvatore da parte mia vanno per la forte risonanza data al problema: se tutte le truffe o tentativi di truffa vengono notificati in rete, diventa più difficile cascarci. Bravo.
Complimentoni per la tua astuzia nell’aver trovato la falla! Anch’io come molti ricevo puntualmente email phising (specie ebay) in cui mi rimandano a un sito identico a ebay ma con un indirizzo compl. diverso per fregare la gente!
Spero che le azioni che intraprendono le aziende per moriti di gente come te abbiano successo e sarebbe giusto che anche voi veniste ricompensati nel modo giusto!
gestisco due piccoli (per ora) blog:
dazebao.blogspot.com e fuorifrase.blogspot.com e sto cercando di utilizzare adsense per racimolare un po’ di soldini (pochi lo so), sarei curioso di sapere quanto riesci a fare col tuo sito tanto per avere una idea indicativa!
interessante, comunque non appena ho cliccato sul tuo link di prova opendns lo ha bloccato subito.
ciao
complimenti, NO. grazie per il consiglio di installatre un antivirus nel pc ,grazie. oggi sono più al sicuro.
bello sto blog,
Posso una piccola domandina?!Ma come si fa a segnalare a google delle cose,xkè ank’io ho trovato un bel pò di bug,e nn riesco a trovare come fare a contattarli!!!
Grazie in anticipo,ciao ciao…
Segnalare le cose a Google è molto semplice, a seconda del tipo di comunicazione esistono diversi indirizzi mail. Per gli adsense c’è un intero forum dove è possibile scrivere e domandare.
Quali siano le “risposte” effettive è tutt’altro paio di maniche.
Comunque si comunica con Google Italia, ovviamente, con sede a Milano.
Lol…