n2a6weklt2kbenrwaz3f

Gravi falle di sicurezza per OAuth e OpenID

Lorenzo Fantoni

La tempesta di Heartbleed sta iniziando in questi giorni ad acquietarsi, ed è già allarme rosso per una nuova emergenza sicurezza. Questa volta i servizi coinvolti sarebbero OpenID e OAuth 2.0, due programmi di autenticazioni che permettono di collegarsi con vari siti utilizzando i propri account Google, Facebook o di altri siti.

LEGGI ANCHE: Heartbleed: tutte le password che dovete cambiare

La falla è stata scoperta da Wang Jing, dottorando dell’Università Tecnologica di Nanyang, e si chiama “Covert Redirect“, ovvero un reindirizzamento occultato. In sostanza, permette a un hacker di ottenere i dati del vostro account usando un link di phising che simula in tutto e per tutto la schermata di autorizzazione di OpenID e OAuth, solo che la password viene inviata all’hacker e non al sito.

La differenza fra un classico sito di phising, spesso facilmente identificabile dai navigatori più attenti, è che usa il sito originale per tendere la trappola, e non un sito creato ad arte, che viene tranquillamente sbugiardato dal suo indirizzo.

Tecnicamente quindi, non è una falla, ma è comunque un qualcosa da tenere attentamente sotto controllo per evitare spiacevoli inconvenienti.

Purtroppo, c’è poco che un utente possa fare per risolvere la situazione, e anche un sito internet è ben poco incentivato a risolvere un problema che è di una terza parte. Per il momento dunque la cosa migliore da fare è essere estremamente attenti nel collegarsi usando Twitter, Google, Facebook e altri account fondamentali, facendo attenzione ai link che chiedono subito un autenticazione.